bypass最新版d盾mysql_第一篇:Bypass D盾_IIS防火墙SQL注入防御(多姿势)

最新推荐文章于 2023-12-24 14:19:26 发布
最新推荐文章于 2023-12-24 14:19:26 发布
阅读量164 收藏
点赞数
文章标签: bypass最新版d盾mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29281915/article/details/113891959
版权

0x01 前言

D盾IIS防火墙,目前只支持Win2003服务器,前阵子看见官方博客说D盾新版将近期推出,相信功能会更强大,这边分享一下之前的SQL注入防御的测试情况。D盾IIS防火墙注入防御策略,如下图,主要防御

GET/POST/COOKIE,文件允许白名单设置。构造不同的测试环境,IIS+(ASP/ASPX/PHP)+(MSSQL/MYSQL),看到这边的策略,主要的测试思路:

a、白名单

b、绕过union select或select from的检测

151370fb1dc0edf68af8c942773ec9f7.png

0X02 IIS+PHP+MYSQL

搭建这个window2003+IIS+php+mysql,可花费不少时间,测试过程还蛮顺利的,先来一张拦截图:

3ed7905cfda03b5b471a8aa1b9a0f969.png

绕过姿势一:白名单 PHP中的PATH_INFO问题,简单来说呢,就是 http:/x.x.x.x/3.php?id=1 等价于http://x.x.x. x/3.php/xxxxxxxxxxxxx?id=1从白名单中随便挑个地址加在后面,可成功bypass,http://10.9.10.206/3.php/ad min.php?id=1 union select 1,2,schema_name from information_schema.SCHEMATA 经测试,GET、POST、COOKIE均有效,完全bypass

逆流而上的小船
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Bypass D盾_防火墙(新版)SQL注入防御.pdf
12-21
Bypass D盾_防火墙(新版)SQL注入防御.pdf
bypass最新版d盾mysql_21. Bypass D盾_防火墙(旧版 and 新版)SQL注入防御(多姿势)...
weixin_31437187的博客
02-03 262
D盾旧版:00前言D盾_IIS防火墙,目前只支持Win2003服务器,前阵子看见官方博客说D盾新版将近期推出,相信功能会更强大,这边分享一下之前的SQL注入防御的测试情况。D盾_IIS防火墙注入防御策略,如下图,主要防御GET/POST/COOKIE,文件允许白名单设置。构造不同的测试环境,IIS+(ASP/ASPX/PHP)+(MSSQL/MYSQL),看到这边的策略,主要的测试思路:a、白名单...
注入mysql win2003服务器密码_Win2003服务器防SQL注入神器--D盾_IIS防火墙
weixin_36464343的博客
01-19 145
0X01 前言D盾_IIS防火墙,目前只支持Win2003服务器,前阵子看见官方博客说D盾新版将近期推出,相信功能会更强大,这边分享一下之前的SQL注入防御的测试情况。D盾_IIS防火墙注入防御策略,如下图,主要防御GET/POST/COOKIE,文件允许白名单设置。构造不同的测试环境,IIS+(ASP/ASPX/PHP)+(MSSQL/MYSQL),看到这边的策略,主要的测试思路:a、白名单 ...
Bypass D盾_IIS防火墙SQL注入防御(多姿势
09-14 1243

 0X01 前言
   D盾_IIS防火墙,目前只支持Win2003服务器,前阵子看见官方博客说D盾新版将近期推出,相信功能会更强大,这边分享一下之前的SQL注入防御的测试情况。D盾_IIS防火墙注入防御策略,如下图,主要防御GET/POST/COOKIE,文件允许白名单设置。构造不同的测试环境,IIS+(ASP/ASPX/PHP)+(MSSQL/MYSQL...
Webshell如何bypass安全狗,D盾
Fly_鹏程万里
01-22 1609
前言 相信各位师傅都有自己过waf一句话的思路,我这写一下自己常用的思路与及具体方法,如有错误,还望大家斧正。上次很多师傅问我要的web漏扫的github地址抱歉还不能给你们,(毕设没答辩完,而且还没写完Orz) Webshell 这里,我主要是写phpwebshell的bypass(主要是其他的没研究过),安全狗的版本是在官网下载的apache4.0版本。 D盾是2.0.9的 ...
第一篇Bypass D盾_IIS防火墙SQL注入防御(多姿势)1
08-03
这边的策略,主要的测试思路:a、白名单 b、绕过union select或select from的检测搭建这个window2003+IIS+php+mysql
第06篇:Bypass D盾_IIS防火墙SQL注入防御(多姿势)1
08-03
思路:a、白名单 b、绕过union select或select from的检测搭建这个window2003+IIS+php+mysql,可花费不少时间,测试过
第三篇:Bypass ngx_lua_waf SQL注入防御(多姿势)1
08-03
测试用例:输出测试:通过这个测试,我们可以发现:1、当提交同一参数id,根据接收参数的顺序进行排序2、当参数id,进行大小写变换,如变形为Id、iD、ID,则会
第08篇:Bypass ngx_lua_waf SQL注入防御(多姿势)1
08-03
测试用例:输出测试:通过这个测试,我们可以发现:1、当提交同一参数id,根据接收参数的顺序进行排序2、当参数id,进行大小写变换,如变形为Id、iD、ID,则会
BypassD盾IIS防火墙SQL注入防御
18年3月萌新白帽子
07-04 2975
并非原创,标记原创只是为了涨积分,下面有原创大佬的原帖连接。一、针对 IIS+PHP+MYSQL配置的D盾防火墙绕过首先D盾大家在做渗透测试的时候多多少少应该都有遇到过就长这个样子,他会在你觉得发现漏洞的时候出现。。。。总之很烦人绕过姿势一、白名单PHP中的PHP_INFO问题,简单来说就是  http://x.x.x.x./3.php?id=1 等价于 http://x.x.x.x/3.php/...
我的WAF+Bypass实战系列.rar
06-12
第一篇Bypass D盾_IIS防火墙SQL注入防御(多姿势)、第二篇:Bypass X-WAF SQL注入防御(多姿势)、第三篇:Bypass ngx_lua_waf SQL注入防御(多姿势)、第四篇:Bypass 360主机卫士SQL注入防御(多姿势)、第五篇:Bypass 护卫神SQL注入防御(多姿势)、番外篇:打破基于OpenResty的WEB安全防护。
Sql server注入之注入绕过
qq_42990434的博客
12-17 3713
本章目录:绕过特性前言测试常见函数绕WAF\-WTS绕安全狗简介简单的爆错bypass简单的联合bypass盲注与储存过程其他绕过语句:绕D盾 绕过特性 前言 我们经常利用一些数据库特性来进行WAF绕过。 在MSSQL中,比如可以这样: 浮点数形式:id=1.1union select 科学计数法形式:id=1e0union select 但其实还可以这样子:id=1.eunion select 通过1.e这样的形式,可以用它绕过D盾SQL注入防护,通过简单的Fuzz,我们来一起探索一下M
bypass最新版d盾mysql_D盾_IIS防火墙SQL注入防御-WAF Bypass实战
weixin_31947509的博客
02-06 193
D盾IIS防火墙,目前只支持Win2003服务器IIS+PHP+MYSQL绕过姿势一:白名单PHP中的PATH_INFO问题,简单来说呢,就是 http:/x.x.x.x/3.php?id=1 等价于 http://x.x.x.x/3.php/xxxxxxxxxxxxx?id=1从白名单中随便挑个地址加在后面,可成功bypass,http://10.9.10.206/3.php/admin.php...
bypass最新版d盾mysql_Bypass 护卫神SQL注入防御(多姿势
weixin_29543939的博客
02-06 881
0x00 前言​ 护卫神一直专注服务器安全领域, 其中有一款产品,护卫神·入侵防护系统 ,提供了一些网站安全防护的功能,在IIS加固模块中有一个SQL防注入功能。这边主要分享一下几种思路,Bypass 护卫神SQL注入防御。0x01 环境搭建软件版本:护卫神·入侵防护系统 V3.8.1 最新版本测试环境:IIS+ASP/ASPX+MSSQL IIS+PHP+MySQL0x02 WAF测...
sql注入绕过
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
02-16 787
【代码】sql注入绕过。
一次实战SQL注入防火墙
ranuy阮的博客
03-15 899
0x01 注入点 https://www.xxxx.com/xxxxx?id=16 在其后面添加单引号,数据库报错 添加and 1=1 --+,依然报错,猜测是数字型注入 猜测字段 ?id=16 order by 1,2,3,4,5,6,7,8 --+ 出现Unknown column ‘8’ in 'order clause 去掉8,?id=16 order by 1,2,3,4,5,6,7–+...
sqlmap绕过d盾_姿势分享——SQL注入bypass D盾
weixin_39594080的博客
12-09 5517
首先感谢兄弟们的支持与关注,我们的成长离不开您的陪伴在我们做项目的途中经常会遇到各种各样的waf,防火墙等来拦截我们的payload,这很是让渗透测试人员头疼,其实网上就有很多关于waf绕过原理的文章,这篇文章就是想告诉大家,当大家理解了网上关于waf绕过的文章的内容并对其原理了解后,其实把理论深化进实践中并没有多困难,本篇文章就是将一个简单常规的小思路实践了一下,便成功绕过了D盾的wa...
数据库防火墙如何防范SQL注入行为
weixin_30879169的博客
10-17 577
SQL注入是当前针对数据库安全进行外部攻击的一种常见手段。现有主流应用大多基于B/S架构开发,SQL注入的攻击方式正是利用web层和通讯层的缺陷对数据库进行外部恶意攻击。将SQL命令巧妙的插入通讯的交互过程中,如:Web表单的递交、域名输入、页面请求等。通过硬性植入的查询语句攻击数据库,以期利用服务器自身缺陷执行恶意的SQL命令,从而入侵数据库。因此通过SQL注入攻击方式产生的安全事件也在增多,对...
SQL注入攻击防护不足:对SQL注入攻击的防护不足
最新发布
ZOMO的博客
12-24 810
随着互联网技术的飞速发展,各种应用系统不断涌现。这些系统中,数据库扮演着至关重要的角色。然而,由于缺乏有效的SQL注入攻击防护措施,导致很多数据库被黑客利用来实施恶意行为。本文将从防火墙策略管理和策略分析两个方面对这一问题进行分析并提供解决方案。
深入理解SQL注入:攻击、防御与工具解析
课程的重点之一是SQL注入的绕过策略,包括服务器、应用和数据库的Bypass手法,以及编写Bypass WAF(Web应用防火墙)代码的技术,这些都是防御SQL注入的重要环节。 最后,课程会讨论防御SQL注入的方法,强调了输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值