0x01 %00繞過WAF
輸入一個(gè)單引號(hào)
頁面報(bào)錯(cuò)
首先閉合�����,這里用')閉合
order by x 被攔截����,用--%0a代替空格即可
直接上union select會(huì)一直卡著,沒有任何返回
把空格都改為--%0a�,成功響應(yīng),在 select 跟 1,2,3... 之間用兩個(gè) --%0a 會(huì)無響應(yīng)
在 1 后面加上 %00 并 url 編碼����,原理是 waf 把空字節(jié)認(rèn)為是結(jié)束導(dǎo)致了后面的語句可以繞過
發(fā)現(xiàn)參數(shù)為 base64 編碼
測試字符發(fā)現(xiàn)頁面報(bào)錯(cuò),使用報(bào)錯(cuò)注入來出數(shù)據(jù)
將以上 payload 經(jīng)過 base64 編碼后得到�,但發(fā)現(xiàn)被攔截了
php 在 base64 解碼的時(shí)候會(huì)忽略特庾址頤竊� payload 里面穿插!�����、@����、.來讓 waf 沒辦法識(shí)別到,但是后端可以識(shí)別�����,成功注入得到 root 權(quán)限
0x03 Emoji繞過WAF
先 order by 獲取列數(shù)
嘗試使用聯(lián)合注入時(shí)就會(huì)被攔截���,無限等待響應(yīng)
這里我們使用emoji方式去代替空格來繞過 waf���,成功注入出回顯
在后面加上 order by 1 被安全狗攔截
WAF 會(huì)避免消耗大量內(nèi)存去匹配危險(xiǎn)函數(shù)�����,故會(huì)直接忽略"有效注釋"中的內(nèi)容�����,而攻擊者可以構(gòu)造不存在的參數(shù)來實(shí)現(xiàn)"偽注釋"���,這里我們構(gòu)造
那么這里就無任何攔截了��,可直接交給 sqlmap
頁面搜索功能嘗試輸入單引號(hào)����,頁面 500 報(bào)錯(cuò)并輸出了報(bào)錯(cuò)信息
這里竟然有報(bào)錯(cuò)我們就想著使用報(bào)錯(cuò)注入,但是含有類似于updatexml這種關(guān)鍵字直接攔截
因?yàn)?get 繞過姿勢較少�,我們嘗試把數(shù)據(jù)通過 post 發(fā)送,發(fā)現(xiàn)后端也接收�,那么這里使用臟數(shù)據(jù)來繞過
單引號(hào)頁面報(bào)錯(cuò)
這里我們打算使用 updatexml 來進(jìn)行報(bào)錯(cuò)輸出,在 url 后面添加 and 發(fā)現(xiàn)并沒有攔截�,但是如果在 and 后面空格然后跟 updatexml 直接被攔截
這里我們的繞過方法是用運(yùn)算符,and (+-/^)發(fā)現(xiàn)并沒有被攔截
updatexml參數(shù)為數(shù)字時(shí)被攔截
這里可以使用16進(jìn)制或者科學(xué)計(jì)數(shù)法0x1或1e1
keywords=11'and-updatexml(0x1,,0x1)
我們首先閉合一下后面的單引號(hào)�,在后面加上and'讓他配合原有的單引號(hào)把%包裹起來
現(xiàn)在我們來構(gòu)造報(bào)錯(cuò)內(nèi)容,concat函數(shù)被攔截��,這里使用 concat_ws()函數(shù),將后面的參數(shù)用第一個(gè)值來分割����,然后配合@@datadir輸出路徑
11'and-updatexml(0x1,concat_ws(1,0x7e,@@datadir),0x1)and'
首先通過-1 /1/0運(yùn)算判斷出存在數(shù)字型 sql 注入,一般來說 asp 都是用 access����,這里使用--%0a的方式來構(gòu)造 payload 也能正常執(zhí)行,判斷出這里為 mssql
微信搜索公眾號(hào):Linux技術(shù)迷�����,回復(fù):linux 領(lǐng)取資料 ���。
這里的測試 payload 是:
--隨機(jī)字符%0a AND--隨機(jī)字符%0a1=1
在 asp+iis 的環(huán)境下unicode在 iis 解析之后會(huì)被轉(zhuǎn)換成 multibyte�,但是轉(zhuǎn)換的過程中可能出現(xiàn):多個(gè) widechar會(huì)有可能轉(zhuǎn)換為同一個(gè)字符
打個(gè)比方就是譬如 select 中的 e對(duì)應(yīng)的 unicode 為%u0065����,但是%u00f0同樣會(huì)被轉(zhuǎn)換成為e
o --> %u004f --> %u006f --> %u00bae --> %u0045 --> %u0065 --> %u00f0
首先測試延時(shí) payload,將里面的o替換為%u00ba���,返回時(shí)間正常
改為 1�,頁面返回 3 秒,執(zhí)行了 3 次��,不管輸入多少都會(huì)被乘 3
寫個(gè) tamper 即可使用 sqlmap 跑
如有侵權(quán)�����,請(qǐng)聯(lián)系刪除
該文章在 2023/4/18 18:19:56 編輯過
400 186 1886
