0x01 %00繞過WAF

輸入一個(gè)單引號(hào)

頁面報(bào)錯(cuò)

首先閉合，這里用')閉合

keywords=1') %23

order by x 被攔截，用--%0a代替空格即可

直接上union select會(huì)一直卡著，沒有任何返回

把空格都改為--%0a，成功響應(yīng)，在 select 跟 1,2,3... 之間用兩個(gè) --%0a 會(huì)無響應(yīng)

在 1 后面加上 %00 并 url 編碼，原理是 waf 把空字節(jié)認(rèn)為是結(jié)束導(dǎo)致了后面的語句可以繞過

發(fā)現(xiàn)參數(shù)為 base64 編碼

先 order by 獲取列數(shù)

嘗試使用聯(lián)合注入時(shí)就會(huì)被攔截，無限等待響應(yīng)

這里我們使用emoji方式去代替空格來繞過 waf，成功注入出回顯

在后面加上 order by 1 被安全狗攔截

WAF 會(huì)避免消耗大量?jī)?nèi)存去匹配危險(xiǎn)函數(shù)，故會(huì)直接忽略"有效注釋"中的內(nèi)容，而攻擊者可以構(gòu)造不存在的參數(shù)來實(shí)現(xiàn)"偽注釋"，這里我們構(gòu)造

那么這里就無任何攔截了，可直接交給 sqlmap

頁面搜索功能嘗試輸入單引號(hào)，頁面 500 報(bào)錯(cuò)并輸出了報(bào)錯(cuò)信息

這里竟然有報(bào)錯(cuò)我們就想著使用報(bào)錯(cuò)注入，但是含有類似于updatexml這種關(guān)鍵字直接攔截

因?yàn)?get 繞過姿勢(shì)較少，我們嘗試把數(shù)據(jù)通過 post 發(fā)送，發(fā)現(xiàn)后端也接收，那么這里使用臟數(shù)據(jù)來繞過

單引號(hào)頁面報(bào)錯(cuò)

這里我們打算使用 updatexml 來進(jìn)行報(bào)錯(cuò)輸出，在 url 后面添加 and 發(fā)現(xiàn)并沒有攔截，但是如果在 and 后面空格然后跟 updatexml 直接被攔截

這里我們的繞過方法是用運(yùn)算符，and (+-/^)發(fā)現(xiàn)并沒有被攔截

updatexml參數(shù)為數(shù)字時(shí)被攔截

這里可以使用16進(jìn)制或者科學(xué)計(jì)數(shù)法0x1或1e1

keywords=11'and-updatexml(0x1,,0x1)

我們首先閉合一下后面的單引號(hào)，在后面加上and'讓他配合原有的單引號(hào)把%包裹起來

現(xiàn)在我們來構(gòu)造報(bào)錯(cuò)內(nèi)容，concat函數(shù)被攔截，這里使用 concat_ws()函數(shù)，將后面的參數(shù)用第一個(gè)值來分割，然后配合@@datadir輸出路徑

11'and-updatexml(0x1,concat_ws(1,0x7e,@@datadir),0x1)and'

首先通過-1 /1/0運(yùn)算判斷出存在數(shù)字型 sql 注入，一般來說 asp 都是用 access，這里使用--%0a的方式來構(gòu)造 payload 也能正常執(zhí)行，判斷出這里為 mssql

微信搜索公眾號(hào)：Linux技術(shù)迷，回復(fù)：linux 領(lǐng)取資料 。

這里的測(cè)試 payload 是：

--隨機(jī)字符%0a AND--隨機(jī)字符%0a1=1

在 asp+iis 的環(huán)境下unicode在 iis 解析之后會(huì)被轉(zhuǎn)換成 multibyte，但是轉(zhuǎn)換的過程中可能出現(xiàn)：多個(gè) widechar會(huì)有可能轉(zhuǎn)換為同一個(gè)字符

打個(gè)比方就是譬如 select 中的 e對(duì)應(yīng)的 unicode 為%u0065，但是%u00f0同樣會(huì)被轉(zhuǎn)換成為e

o --> %u004f --> %u006f --> %u00bae --> %u0045 --> %u0065 --> %u00f0

首先測(cè)試延時(shí) payload，將里面的o替換為%u00ba，返回時(shí)間正常

改為 1，頁面返回 3 秒，執(zhí)行了 3 次，不管輸入多少都會(huì)被乘 3

寫個(gè) tamper 即可使用 sqlmap 跑

如有侵權(quán)，請(qǐng)聯(lián)系刪除