本帖最后由 xmidf 于 2018-7-11 10:16 编辑
作者:whynot 转自:先知
0x0 前言
这里是简单对sql注入绕过waf的一个小总结,非安全研究员,这里不讲原理,关于原理搜集了一些其他大佬的文章(文章在最下面请自取),感谢他们的分享,比着葫芦画瓢,对着各大waf厂商跟着师傅们来一波实战,进行一个简单的总结。
0x1 注入点检测
一般的注入还是很好判断的,特别是基于报错,但有的时候略微有些奇葩的环境,再加上一些乱七八糟 waf,就比较难搞了,这里简单总结了一些方法。
利用数据库独有的一些函数
access asc chr len #access-functions
mysql substring substr length
mssql char ascii len substring #mssql function str
oracle ascii chr length substr upper lower replace(x,old,new)
这些数据库中一个通用的函数就是abs,如果觉得是int型注入不妨先试试2-abs(1),然后结合各类数据库的一些函数来判断是什么数据库的注入,当然对数据库了解越多越好。
改变请求方式
根据经验,一般情况下各脚本对http request method如下,这里以GET为例子,针对www.vul.com/?id=1来进行判断。
php GET
aspx GET
asp GET POST COOKIE
jsp GET POST
平常渗透测试中总是遇到各种各样的waf,有的时候一个单引号就死了,这个时候首选的一些方法就是转换请求头了,毕竟GET不如POST,POST不如multipart/form-data,当然不要看到php就不去转换,任何情况下都要尝试一下。
当然,可以用burp很方便的来进行change request method以及change body encoding。
之前碰到过一个有趣的例子,asp的站点可以通过cookie提交数据,而且可以使用len函数,可以初步判断为access或者mssql数据库,但是还是很头疼,最后一位大哥使用下面的函数可以判断成功。www.vul.com/2.asp?id=482
483-chr(chr(52)&chr(57)) #=482
chr(52) ‘4’
chr(57) ‘9’
chr(49) ‘1’ #chr(52)&chr(57)为49 chr(49)为1 虽然最后也没什么卵用但还是挺有意思的
数据库特性
mysql 注释符号# –+ ` ;%00 // 字符串可以使用成对的引号’admin’ = admin’’’
mssql 注释符号– // ;%00
oracle 注释符号– /**/ admin=adm’||’in
空白符号MySQL5 09 0A 0B 0C 0D A0 20
Oracle 00 0A 0D 0C 09 20
MSSQL 01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20
mysql和mssql可以使用|来进行相关的运算,而oracle会把||当成连接字符。
[AppleScript] 纯文本查看 复制代码1. iis+asp(x)
1.%u特性: iis支持对unicode的解析,如:payload为[s%u006c%u0006ect],解析出来后则是[select]
%u0061nd 1=1
另类%u特性: unicode在iis解析之后会被转换成multibyte,但是转换的过程中可能出现:多个widechar可能会转换为同一个字符。
如:select中的e对应的unicode为%u0065,但是%u00f0同样会被转换成为e s%u00f0lect
iis+asp
2.%特性: unio