burp response绕过后台_OpenRASP SQL注入绕过

最新推荐文章于 2023-01-02 19:23:33 发布
最新推荐文章于 2023-01-02 19:23:33 发布
阅读量612 收藏 1
点赞数
文章标签: burp response绕过后台 html sql注入 sql注入的防护方法
1ae429f9da1de715b3d3d2bb66f11698.png

OpenRASP介绍

OpenRASP即应用运行时自我保护,“可直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞”——https://rasp.baidu.com/  《OpenRASP 官方文档》

fc905daae0767aa1b4b90850a0c5d46f.png

OpenRASP防护效果

  1. 环境搭建
    本文以Tomcat服务器为例,参考官网 快速接入——Tomcat服务器文档(https://rasp.baidu.com/doc/install/manual/tomcat.html)
abb68b31fe46469c9cdd3e7c9419b5f4.png
官方搭建指引文档
  1. 防护示例
    对靶场项目进行SQL注入攻击,根据burp返回报文,显示已经被OpenRASP拦截。
1e6a2cceae688e84a7cc3136d01a010e.png
burp返回报文
80986e411c970eea342cb27e31d2e7a7.png
OpenRASP拦截图

绕过OpenRASP进行SQL注入

操作:新增一个参数(参数名为一个无意义的参数名即可),注意该参数需要在被注入参数的前面,以保证rasp先检测该参数。被注入参数中添加一段注释如下,新增参数值为注释的一部分(长度大于等于8即可)。

如下图,盲注成功:

ddb50107ba22e1964398c7206783c4fd.png
盲注成功

对于请求content-type为multipart的,也是同理,新增额外参数来绕过。但是对于json格式的请求报文,除了上述的请求参数污染外,还可以通过添加或者修改header(User-Agent/X-Forwarded-For/Referer)内容,从而绕过open rasp检测。

1ed56e2bf79bbf9a65e6e350a8661783.png
修改User-Agent绕过
cc4c38457d1864925d109614d9a3f4b5.png
修改X-Forwarded-For绕过

绕过分析

调试分析源码plugins/official/plugin.js文件。在_run方法中,使用RASP.sql_tokenize方法会将执行的SQL语句解析成一个个token,解析的结果中不会包含注释部分。

  if (algorithmConfig.sql_userinput.pre_enable && ! sqliPrefilter1.test(value)) {
       return false
  }

  // 懒加载,需要的时候初始化 token
  if (raw_tokens.length == 0) {
      raw_tokens = RASP.sql_tokenize(params.query, params.server)
  }

  if (is_token_changed(raw_tokens, userinput_idx, value.length)) {
      reason = _("SQLi - SQL query structure altered by user input, request parameter name: %1%", [name])
      return true
  }

如下图,调试可观察到程序将SQL语句解析为12个token,语句中注释的部分被忽略。

d37dd1a2fc9392115220453741031a35.png
SQL语句 token

然后进入is_token_changed方法中。该方法作用主要是:找到用户输入参数值在要被执行的SQL语句(已经解析成token,里面不包含注释内容)的位置,所以只要该参数属于SQL语句注释的内容,这里的start值就不会被后续赋值,始终为-1。在后面会产生数组越界,从而程序异常终止。从而绕过open rasp检测。

ccd9422821f269df354cbe6906264cd3.png
is_token_changed方法

最后

使用OpenRASP并不能保证应用程序绝对的安全,代码安全才是治本之道。本文仅对绕过OpenRASP进行SQL注入进行研究,但是从绕过原理上看,其他漏洞防护也可用相似的方法绕过,暂未验证。抛砖引玉,有兴趣的小伙伴欢迎发送消息后台交流~

想了解Xcheck更多信息或者代码安全审计相关技术欢迎关注xcheck公众号~

4899d1d0339175ce1ad1d588e6407b72.png
weixin_39903477
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenRASP xss算法的几种绕过方法
HBohan的博客
07-21 468
openrasp默认只能检测反射型XSS,存储型XSS仅IAST商业版支持。对于反射型xss,openrasp也只能检测可控输出点在html标签外的情况,本文的绕过方法是针对这种情况。如果可控输出点在html标签内,如或 内部,openrasp几乎检测不到。 测试环境 【网安学习资料】 windows / tomcat / jdk1.8 / openrasp 1.3.7-beta 测试环境部署参见https://www.anquanke.com/post/id/241107,或者官网文档。 在offici.
Java常用面试题之并发篇(十六)
Mr_TXQ的博客
10-14 188
// An highlighted block var foo = 'bar';
【网络安全】OpenRASP xss算法的几种绕过方法
baidu_41678158的博客
01-02 893
openrasp默认只能检测反射型XSS,存储型XSS仅IAST商业版支持。对于反射型xss,openrasp也只能检测可控输出点在html标签外的情况,本文的绕过方法是针对这种情况。如果可控输出点在html标签内,如或内部,openrasp几乎检测不到。
SQL注入原理、过程、防御方案、RASP概念
qq_37432174的博客
11-24 1182
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的语句上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。1.寻找到SQL注入的位置。
绕过rasp
Finlinlts的博客
08-30 1222
RASP(Runtime application self-protection)运行时应用自我保护, RSAP将自身注入到应用程序中,与应用程序融为一体,实时监测、阻断攻击,使程序自身拥有自保护的能力。并且应用程序无需在编码时进行任何的修改,只需进行简单的配置即可
墨者靶场 post ,DB2,绕过登录,sql注入四关
最新发布
07-22
### 墨者靶场 Post、DB2、绕过登录及SQL注入四关攻略 #### 一、前言 在网络安全领域,靶场是检验安全技术能力的重要平台之一。本次攻略将详细介绍墨者靶场中的Post、DB2、绕过登录及SQL注入四个挑战关卡的解决方法...
SQL_zhuru.rar_sql 注入_sql注入
09-24
内容可能包括了使用各种工具(如Burp Suite、sqlmap等)进行自动化SQL注入测试的步骤,以及如何编写安全的SQL代码,如参数化查询、预编译语句和输入验证等防御措施。 SQL注入的危害巨大,可能导致数据泄露、系统...
分块传输绕过WAF进行SQL注入1
08-03
SQL注入攻击的场景中,分块传输编码可能被用来绕过Web应用防火墙(WAF)。由于WAF通常基于预定义的规则来检测和阻止恶意请求,它可能无法正确解析分块编码的请求体,从而忽略了其中可能存在的恶意SQL语句。攻击者...
Burp_Suite_Pro_v1.7.34_Loader_Keygen
12-19
Burp_Suite_Pro_v1.7.34_Loader_Keygen
绕过后台登录字典
05-04
含有php和asp的'or'='or'的绕过登录的字典,可使用burpsuite爆破测试是否成功
openrasp入门
weixin_33969116的博客
04-02 303
2019独角兽企业重金招聘Python工程师标准>>> ...
不止防JSON技术绕过,RASP相比WAF的七大技术优势
weixin_55163056的博客
12-16 480
“贴身保镖”RASP
java的命令执行与bypassRASP
灰太的表格的博客
09-01 1007
关于php的webshell相信大家已经很了解了,webshell就是相当于可以控制目标服务器的一小段代码。今天讲下java的webshell以及bypassRASP。 java的命令执行一般都是通过Runtime类的Runtime.getRuntime().exec()方法来执行,来看一段demo (建议练习审计时不要用docker的环境,建议idea启动): 看一下执行效果: OK,这一段代码就是一个简单的webshell。接下来我们简单的看下调用链: ...
rasp java tomcat_Java安全之JNI绕过RASP
weixin_34740753的博客
02-27 359
Java安全之JNI绕过RASP0x00 前言前面一直想看该JNI的相关内容,但是发现JNI的资料还是偏少。后面发现JNI在安全中应用非常的微妙,有意思。0x01 JNI概述JNI的全称叫做(Java Native Interface),其作用就是让我们的Java程序去调用C的程序。实际上调用的并不是exe程序,而是编译好的dll动态链接库里面封装的方法。因为Java是基于C语言去实现的,Java...
java防护webshell_JNI技术绕过rasp防护实现jsp webshell
weixin_32503531的博客
02-27 247
背景​ 想到rasp这类工具是基于java、php运行期的堆栈信息进行分析,可以尝试使用jni技术进行绕过。java技术栈中的jni的原理是使用java调用c、c++函数,具体实现的思路是jsp编译为class文件,该class通过jni技术调用另外一处dll里的函数绕过黑名单执行命令获取回显,即可实现rasp和安全防护软件的绕过。github地址:https://github.com/na...
网络安全课第三节 SQL 注入的检测与防御
fegus的博客
07-11 2145
我们现在来到了 SQL 注入的学习,这里我会主要介绍 SQL 注入漏洞的产生原理、利用、检测和防御。相信学完后,你就知道:为什么 'or'1'='1 是个万能密码;攻击者会如何进一步利用漏洞发动攻击窃取数据库;开发如何检测和防御 SQL 注入漏洞。这一讲,我主要讲解 SQL 注入与数据库拖库问题。十几年前,我在网上偶然间看到一篇文章,号称有可登录任意网站管理后台的万能密码,只要在用户名和密码中均输入 'or'1'='1(注意单引号的使用)即可登录后台。当时感觉特别神奇,也有点质疑,于是,我通过 Google
BurpSuit官方实验室之SQL注入
tpaer的博客
11-13 5491
BurpSuit官方实验室靶场-SQL注入通关记录。
RASP技术攻防之基础篇
热门推荐
查理王的博客
05-08 1万+
本文就笔者研究RASP的过程进行了一些概述,技术干货略少,偏向于普及RASP技术。中间对java如何实现rasp技术进行了简单的举例,想对大家起到抛砖引玉的作用,可以让大家更好的了解一些关于web应用程序安全防护的技术。文笔不好,大家轻拍。 一 、什么是RASP? 在2014年的时候,Gartner引入了“Runtime application self-protection”一词,简称为RASP。它是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安
Burp Suite渗透实战操作指南-上篇
chengman3837的博客
12-29 279
本文来源于i春秋社区 Burp必备知识 在介绍功能之前有必要让大家了解一些burp的常用功能,以便在使用中更好的发挥麒麟臂的优势。 1.1快捷键 很多人可能都没用过burp的快捷键吧,位置如下,不说话,如果不顺手可以自己定义。 1.2抓包设置 网上设置抓取HTTPS的数据包设置步...
burpsuite绕过验证码爆破
09-08
根据引用内容,有两种方法可以使用Burpsuite绕过验证码进行爆破:免费版本和付费版本。在免费版本中,你可以下载相应的软件进行使用,但是可能会出现验证码识别错误的情况。而在付费版本中,你可以下载对应的插件并调用收费接口,可以提高验证码的识别准确性。另外,引用中还提到了一种进阶版本,直接调用收费API进行爆破。此外,引用中指出,最好的方式是编写Python脚本进行爆破,以应对管理员密码存在特殊字符可能导致的返回500错误的情况。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值