這篇文章搜集整理自@Junehck師傅的Github����,記錄了他在實(shí)戰(zhàn)中遇到的各種WAF攔截SQL注入的場(chǎng)景和繞過(guò)姿勢(shì)����,文章并不是完整的,僅記錄了Bypass部分�����。
https://github.com/Junehck/SQL-injection-bypass
0x01 %00繞過(guò)WAF
輸入一個(gè)單引號(hào)
頁(yè)面報(bào)錯(cuò)
首先閉合�����,這里用')閉合
order by x 被攔截����,用--%0a代替空格即可
直接上union select會(huì)一直卡著,沒(méi)有任何返回
把空格都改為--%0a,成功響應(yīng)����,在 select 跟 1,2,3... 之間用兩個(gè) --%0a 會(huì)無(wú)響應(yīng)
在 1 后面加上 %00 并 url 編碼,原理是 waf 把空字節(jié)認(rèn)為是結(jié)束導(dǎo)致了后面的語(yǔ)句可以繞過(guò)
發(fā)現(xiàn)參數(shù)為 base64 編碼
測(cè)試字符發(fā)現(xiàn)頁(yè)面報(bào)錯(cuò)���,使用報(bào)錯(cuò)注入來(lái)出數(shù)據(jù)
133 and updatexml(1,concat(0x1,user()),1)
將以上 payload 經(jīng)過(guò) base64 編碼后得到���,但發(fā)現(xiàn)被攔截了
php 在 base64 解碼的時(shí)候會(huì)忽略特殊字符,我們?cè)?payload 里面穿插!����、@�����、.來(lái)讓 waf 沒(méi)辦法識(shí)別到�����,但是后端可以識(shí)別�����,成功注入得到 root 權(quán)限
0x03 Emoji繞過(guò)WAF
先 order by 獲取列數(shù)
嘗試使用聯(lián)合注入時(shí)就會(huì)被攔截,無(wú)限等待響應(yīng)
這里我們使用emoji方式去代替空格來(lái)繞過(guò) waf�����,成功注入出回顯
在后面加上 order by 1 被安全狗攔截
WAF 會(huì)避免消耗大量?jī)?nèi)存去匹配危險(xiǎn)函數(shù)�����,故會(huì)直接忽略"有效注釋"中的內(nèi)容�,而攻擊者可以構(gòu)造不存在的參數(shù)來(lái)實(shí)現(xiàn)"偽注釋",這里我們構(gòu)造
那么這里就無(wú)任何攔截了��,可直接交給 sqlmap
0x05 臟數(shù)據(jù)繞過(guò)WAF
頁(yè)面搜索功能嘗試輸入單引號(hào)����,頁(yè)面 500 報(bào)錯(cuò)并輸出了報(bào)錯(cuò)信息
這里竟然有報(bào)錯(cuò)我們就想著使用報(bào)錯(cuò)注入,但是含有類似于updatexml這種關(guān)鍵字直接攔截
因?yàn)?get 繞過(guò)姿勢(shì)較少����,我們嘗試把數(shù)據(jù)通過(guò) post 發(fā)送,發(fā)現(xiàn)后端也接收���,那么這里使用臟數(shù)據(jù)來(lái)繞過(guò)
0x06 關(guān)鍵字替換繞過(guò)WAF
單引號(hào)頁(yè)面報(bào)錯(cuò)
這里我們打算使用 updatexml 來(lái)進(jìn)行報(bào)錯(cuò)輸出���,在 url 后面添加 and 發(fā)現(xiàn)并沒(méi)有攔截����,但是如果在 and 后面空格然后跟 updatexml 直接被攔截
這里我們的繞過(guò)方法是用運(yùn)算符���,and (+-/^)發(fā)現(xiàn)并沒(méi)有被攔截
updatexml參數(shù)為數(shù)字時(shí)被攔截
這里可以使用16進(jìn)制或者科學(xué)計(jì)數(shù)法0x1或1e1
我們首先閉合一下后面的單引號(hào)�����,在后面加上and'讓他配合原有的單引號(hào)把%包裹起來(lái)
keywords=11'and-updatexml(0x1,,0x1)and'
現(xiàn)在我們來(lái)構(gòu)造報(bào)錯(cuò)內(nèi)容�����,concat函數(shù)被攔截����,這里使用 concat_ws()函數(shù)�,將后面的參數(shù)用第一個(gè)值來(lái)分割��,然后配合@@datadir輸出路徑
11'and-updatexml(0x1,concat_ws(1,0x7e,@@datadir),0x1)and'
首先通過(guò)-1 /1/0運(yùn)算判斷出存在數(shù)字型 sql 注入�����,一般來(lái)說(shuō) asp 都是用 access�,這里使用--%0a的方式來(lái)構(gòu)造 payload 也能正常執(zhí)行���,判斷出這里為 mssql
這里的測(cè)試 payload 是:
在 asp+iis 的環(huán)境下unicode在 iis 解析之后會(huì)被轉(zhuǎn)換成 multibyte,但是轉(zhuǎn)換的過(guò)程中可能出現(xiàn):多個(gè) widechar會(huì)有可能轉(zhuǎn)換為同一個(gè)字符
打個(gè)比方就是譬如 select 中的 e對(duì)應(yīng)的 unicode 為%u0065���,但是%u00f0同樣會(huì)被轉(zhuǎn)換成為e
首先測(cè)試延時(shí) payload��,將里面的o替換為%u00ba�����,返回時(shí)間正常
改為 1��,頁(yè)面返回 3 秒���,執(zhí)行了 3 次,不管輸入多少都會(huì)被乘 3
寫(xiě)個(gè) tamper 即可使用 sqlmap 跑
該文章在 2023/3/27 18:38:40 編輯過(guò)
400 186 1886
