sql注入-07 堆叠注入及WAF绕过注入

最新推荐文章于 2024-06-04 12:07:31 发布
最新推荐文章于 2024-06-04 12:07:31 发布
阅读量1k 收藏
点赞数 1
文章标签: sql web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44576725/article/details/121358519
版权

堆叠及WAF绕过注入

1、堆叠注入

简介

引用大佬的解释:Stacked injections–堆叠注入。从名词的含义就可以看到应该是一堆 sql 语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在 mysql 中,主要是命令行中,每一条语句结尾加 ; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection。

​ 在 SQL 中,分号(;)是用来表示一条 sql 语句的结束。试想一下我们在 ; 结束一个 sql 语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而 union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于 union 或者 union all 执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是 任意的语句。

例子:

mysql> select database();select * from users;
+------------+
| database() |
+------------+
| security   |
+------------+
1 row in set (0.00 sec)

+----+----------+------------+
| id | username | password   |
+----+----------+------------+
|  1 | Dumb     | Dumb       |
|  2 | Angelina | I-kill-you |
|  3 | Dummy    | p@ssword   |
|  4 | secure   | crappy     |
|  5 | stupid   | stupidity  |
|  6 | superman | genious    |
|  7 | batman   | mob!le     |
|  8 | admin    | 123        |
|  9 | admin1   | admin1     |
| 10 | admin2   | admin2     |
| 11 | admin3   | admin3     |
| 12 | dhakkan  | dumbo      |
| 14 | admin4   | admin4     |
| 15 | admin'#  | 123456     |
+----+----------+------------+
14 rows in set (0.00 sec)

局限性

​ 堆叠注入的局限性在于并不是每一个环境下都可以执行,可能受到 API 或者数据库引擎 不支持的限制,当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。

​ 虽然我们前面提到了堆叠查询可以执行任意的 sql 语句,但是这种注入方式并不是十分 的完美的。在我们的 web 系统中,因为代码通常只返回一个查询结果,因此,堆叠注入第 二个语句产生错误或者结果只能被忽略,我们在前端界面是无法看到返回结果的。

​ 因此,在读取数据时,我们建议使用 union(联合)注入。同时在使用堆叠注入之前, 我们也是需要知道一些数据库相关信息的,例如表名,列名等信息。

应用场景

  • 注入需要管理员帐号密码,密码是加密,无法解密

  • 堆叠注入时插入数据,用户密码自定义的,可以正常解密登录

2、WAF绕过

SQL绕过思路

数据:

  • 大小写

  • 加密解密

  • 编码解码,例如:

    url编码:
%23表示#
%0a表示换行
%20表示空格

假如要绕过union select这个整体:
union %23a%0a select 1,2,3#
分析:
%23是为了屏蔽a,加a是为了让waf判断到#时,并没有结束,后面还有个字符a;
%0a是为了换行躲避掉#的注释,从而可以执行后面的select语句

  • 等价函数

  • 特殊符号 ! ~

  • 反序列化

  • 注释符混用,例如:

    mysql> select database/**/();
+-------------+
| database () |
+-------------+
| security    |
+-------------+
1 row in set (0.00 sec)

    注释符/**/是mysql特有的,不影响查询。因为waf防护策略大多数都是基于整体验证,例如过滤“database()”这个字符串。

方式:

  • 更改提交方式
  • 变异

其他:

  • Fuzz大法

    说白了就是批量测试进行爆破,不过通常是借助脚本自动爆破
这种方法在以后经常用到,核心是写好脚本,绕过语句可以网上查询获取,网上很多

  • 数据库特性

    用来分隔语句的符号:
/*!*/

mysql> /*!select database()*/;
+------------+
| database() |
+------------+
| security   |
+------------+
1 row in set (0.00 sec)

安全狗检测渗透脚本是采用整体验证,例如:unint select 这个整体 
可以使用以上方法,使用unint/*!*/select可不触发waf

  • 垃圾数据溢出

  • http参数污染

    如果出现多个相同参数,不同的服务器搭建网站会出现参数接受的差别,从而令原有的参数失效。

    image-20211116155157562

    结合注释符/**注入语句*/来绕过waf:
?id=1/**&id=-1%20union%20select%201,2,3$23*/

分析:
1、waf匹配的时候匹配的是1/**&id=-1%20union%20select%201,2,3$23*/,其中/***/起到注释作用,
正常情况下没有执行后面的语句,waf直接不管;
但是参数污染导致接收的真实数据是id=-1%20union%20select%201,2,3$23,能正常执行sql语句
拓海AE
关注
SQL注入sql-labs通关1-18(手工注入、高权限注入、文件读写、提交方式、查询方式、WAF绕过sqlmap)
m0_61506558的博客
07-25 870
对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。......
SQL注入堆叠WAF绕过堆叠注入
weixin_46425310的博客
06-12 236
SQL注入堆叠WAF绕过堆叠注入堆叠注入:多条SQL语句一起执行,本质上就是将多条SQL语句通过 ;来一起注入 WAF绕过:更改提交方式,但是必须保证参数可以通过不同的提交方式接受;若拦截了数据,如database()等,可以通过大小写,加密解密,编码函数,等价函数(例如用mid取代ascii),特殊符号(不影响SQL语句正常执行,而可以绕过WAF正则表达式的搜索),反序列化, 注释符混用 (例如 select database()被拦截,但select (),select database均可以执
SQL注入堆叠WAF绕过注入
av11566的博客
04-21 4634
前言 在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF绕过,而绕过WAF前肯定需要对WAF的工作原理有一定的理解。 所需知识 1. 堆叠查询注入 定义 Stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实 的运用中也是这样的,我们知道在mysql中,主要是命令行中,每
WEB漏洞-SQL注入堆叠WAF绕过注入sql学习笔记)
qq_19375535的博客
07-02 369
sql学习笔记
小迪安全学习笔记--第18天:web漏洞--SQL注入堆叠以及waf绕过
zr1213159840的博客
12-15 825
堆叠注入 stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql 中,主要是命令行中,每一条语句结尾加;表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做stacked injection。 堆叠注入其实就是多条语句的执行。堆叠注入是存在局限性的,可能受到API或者数据库引擎的限制。可以通过堆叠注入向管理员表插入用户名密码绕过 参数污染:当一个提交的内容中包含多个参数的时候,会根据不同的
第18天:WEB漏洞-SQL注入堆叠WAF绕过注入1
08-03
WEB 漏洞-SQL 注入堆叠WAF 绕过注入 SQL 注入是一种常见的 WEB 漏洞攻击方式,通过将恶意 SQL 语句嵌入到 Web 应用程序的输入参数中,从而访问、修改或控制数据库的数据。堆叠注入(Stacked Injections)是 ...
B站小迪安全笔记第十八天-SQL注入堆叠waf绕过注入
m0_61530426的博客
07-29 608
B站小迪安全笔记
SQL注入天书 sqli-labs
01-11
9. **Web应用防火墙(WAF绕过**:理解WAF的工作原理,学习如何识别和规避WAF规则。 10. **自动工具的使用**:如Burp Suite、sqlmap等自动化工具的使用,可以提高测试效率。 通过对sqli-labs的实战演练,你将具备...
Sql注入漏洞汇总-上
最新发布
黑战士的博客
06-04 723
DNSlog注入,也叫DNS带外查询,它是属于带外通信的一种(Out of Band,简称OOB)。寻常的注入基本都是在同一个信道上面的,比如正常的get注入,先在url上插入payload做HTTP请求,然后得到HTTP返回包,没有涉及其他信道。而所谓的带外通信,至少涉及两个信道信道:在计算机中指通信的通道,是信号传输的媒介。
07_SQL注入_堆叠注入&绕过注入
qq_42171569的博客
06-03 1384
谈及堆叠,顾名思义:就是多条语句一同执行。实际开发中,部分数据库支持多条SQL语句同时执行,在这样的场景下进行SQL注入,我们是否能够在payload中构造多条可执行语句呢?当然可以。SQL语句中“;”代表了一条语句的结束,在写入payload时只需要用“;”分割多条语句,在限制不到位的情况下就可以自定义执行多条语句,案例如下:假设数据库中存在表users 如果恶意用户将参数人为构造成:垓参数与SQL语句进行拼接,就会变为:一旦恶意代码被执行,users表就会被删除通过上述案例,不难发现,对比与联合查询un
WEB漏洞-SQL注入堆叠查询及WAF绕过
xhscxj的博客
01-17 962
堆叠注入 语句: select username from user where id = 1;select password from user; 在原本的语句后面加上分号使其结束,再在后面写上另外的查询语句。 相当于自己又加入了一条查询语句,两条语句一起查询。 堆叠注入实现例子 后面加入的语句与功能自己按需要构造 绕过WAF 安全狗 提交方式绕过 目标网站有安全狗,并对url进行拦截时 如果目标网站的接收方式是$_REQUEST(即可接收GET提交,也可以接收POST提交),则可以,通过post
sql注入堆叠注入分析总结
limenzzz的博客
04-13 597
突然记起一道攻防世界上的题目,用到了堆叠注入,于是在这里借着这道题目总结一下堆叠注入的方法 首先尝试万能密码发现没什么用 尝试一下union查找注入点 好家伙这是全给过滤了,尝试直接使用堆叠注入破解 1';show databases;# 盲猜flag在supersqli里 1';show tables from supersqli;# 1';show columns from `1919810931114514`;# 1';show columns...
堆叠注入waf绕过 安全狗为主(18)
san3144393495的博客
05-06 356
讲这个例子,堆叠注入他的一个用处,注入的时候需要获取到管理员的账户密码,但密码是加密的,加密经常揭秘不出来,很正常,可以利用这个注入实现堆叠注入,就是插入数据,诸如的时候向管理员这个表里面插入一个数据,成功的给管理员添加一个新用户,之后在用插入的用户名密码去登陆,就不需要考虑密码解不出来。基本上一些常见漏洞都检测,他的检测是插件的那种方法,每次更新也都是更新的插件,他会对还会对工具检测的一些常见的工具,nmap,菜刀,sqlmap,和xxs漏洞检测等基本上的都会检测,默认的检测项目是url。
堆叠注入之[强网杯 2019]随便注
Aiwin的博客
05-26 714
堆叠注入之[强网杯 2019]随便注各详解
sql注入各种绕过
weixin_42478365的博客
08-01 8481
sql注入绕过
sql注入堆叠注入
weixin_42566218的博客
02-19 9075
一、堆叠注入的原理 mysql数据库sql语句的默认结束符是以";"号结尾,在执行多条sql语句时就要使用结束符隔 开,而堆叠注入其实就是通过结束符来执行多条sql语句 比如我们在mysql的命令行界面执行一条查询语句,这时语句的结尾必须加上分号结束 select * from student; 如果我们想要执行多条sql那就用结束符分号进行隔开,比如在查询的同时查看当前登录用户是谁 select * from student;select current_user();
SQL注入漏洞回顾
guanjian_ci的博客
03-26 4269
第一部分:信息收集 信息收集是渗透的最重要的一步,它决定你渗透能否成功的%60. 对于SQL注入,前期需要了解对方~数据库的类型~,~网站路径~,为后续测试SQL注入提供一个正确的道路。 第二部分:SQL注入之数据库分类 目前网站数据库类型主流的有mysql、Access、Mssql、mongodb、Postgresqlsqllite、oracle等等。 1.access注入 与其他类型注入不同,属于独立存在管理类型。 (1)不存在跨库注入; (2)无文件读写操作; (3)无版本、数据库
一天一道CTF 第三天(堆叠注入改表名)
scrawman的博客
03-02 437
[强网杯 2019]随便注 今天的也是SQL注入,输入1'报错显示说明闭合符号是' 再随便试试-1’ union select 1,2,3 --+,回显return preg_match("/select|update|delete|drop|insert|where|\./i",$inject); preg_match本来的作用是一个匹配函数,也就是在我们输入的语句中查找是否存在select等关键词,i表示大小写不敏感,无法用大小写混搭来绕过。 在网上查了一下可以用堆叠注入,1';show databa
SQL注入绕过WAF策略与技巧解析
以下是一些常用的SQL注入绕过WAF的方法: 1. **注入类型**: - GET注入:攻击者通常利用URL参数传递恶意SQL代码。 - POST注入:在表单提交的数据中插入SQL。 - COOKIE注入:利用HTTP头或Cookie中的数据进行注入。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值