mysql注入fuzz字典_sql注入fuzz bypass waf

本帖最后由 xmidf 于 2018-7-11 10:16 编辑

作者：whynot      转自：先知

0x0 前言

这里是简单对sql注入绕过waf的一个小总结，非安全研究员，这里不讲原理，关于原理搜集了一些其他大佬的文章(文章在最下面请自取)，感谢他们的分享，比着葫芦画瓢，对着各大waf厂商跟着师傅们来一波实战,进行一个简单的总结。

0x1 注入点检测

一般的注入还是很好判断的，特别是基于报错，但有的时候略微有些奇葩的环境，再加上一些乱七八糟 waf，就比较难搞了，这里简单总结了一些方法。

利用数据库独有的一些函数

access  asc chr len #access-functions

mysql   substring   substr length

mssql   char ascii len substring    #mssql function str

oracle  ascii  chr length  substr upper lower replace(x,old,new)

这些数据库中一个通用的函数就是abs，如果觉得是int型注入不妨先试试2-abs(1),然后结合各类数据库的一些函数来判断是什么数据库的注入,当然对数据库了解越多越好。

改变请求方式

根据经验，一般情况下各脚本对http request method如下，这里以GET为例子，针对www.vul.com/?id=1来进行判断。

php GET

aspx GET

asp GET POST COOKIE

jsp GET POST

平常渗透测试中总是遇到各种各样的waf，有的时候一个单引号就死了，这个时候首选的一些方法就是转换请求头了，毕竟GET不如POST，POST不如multipart/form-data，当然不要看到php就不去转换，任何情况下都要尝试一下。

当然，可以用burp很方便的来进行change request method以及change body encoding。

之前碰到过一个有趣的例子，asp的站点可以通过cookie提交数据，而且可以使用len函数，可以初步判断为access或者mssql数据库，但是还是很头疼，最后一位大哥使用下面的函数可以判断成功。www.vul.com/2.asp?id=482

483-chr(chr(52)&chr(57))    #=482

chr(52) ‘4’

chr(57) ‘9’

chr(49) ‘1’ #chr(52)&chr(57)为49 chr(49)为1 虽然最后也没什么卵用但还是挺有意思的

数据库特性

mysql   注释符号# –+ ` ;%00 // 字符串可以使用成对的引号’admin’ = admin’’’

mssql   注释符号– // ;%00

oracle  注释符号– /**/ admin=adm’||’in

空白符号MySQL5 09 0A 0B 0C 0D A0 20

Oracle 00 0A 0D 0C 09 20

MSSQL 01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20

mysql和mssql可以使用|来进行相关的运算，而oracle会把||当成连接字符。

[AppleScript] 纯文本查看 复制代码1. iis+asp(x)

1.%u特性: iis支持对unicode的解析，如:payload为[s%u006c%u0006ect],解析出来后则是[select]

%u0061nd 1=1

另类%u特性: unicode在iis解析之后会被转换成multibyte，但是转换的过程中可能出现:多个widechar可能会转换为同一个字符。

如：select中的e对应的unicode为%u0065，但是%u00f0同样会被转换成为e s%u00f0lect

iis+asp

2.%特性: unio