太菜了,给爷整Emo~了
我收到很多私信就是问账号哪里来的,我有一“朋友”这里讲两种sg方法,可以自测方法是否有效,可爱捏ing
先看看发出来会不会被diss,不被diss再更ing
先看看日志功能,之前的文章有提到过哪些地方容易有SQL注入漏洞,可往返阅读一下,这里就跳过啦!
看见这里是可以选择排序方式,先挨个点一遍,回去burp查看数据包
从下面这个数据包发现:
1、存在waf,可以通过查询关键词得到是什么waf
2、有排序注入的特征参数asc
3、判断注入点的方法
通过简单的payload得到返回长度不一样,验证可能是存在注入的。
我习惯性用布尔进行构造mysql数据库的payload
先是使用了if(length(user())1,1,0)验证长度。
接着用了些工具箱里面的sql自查表的一些绕过方法,结果都是直接返回502waf报错。(由于当时没有截图,这里也没办法进行展示了,哥几个看看文字就好了哈)
整错了,宝子们!数据库错啦,函数都用错啦,这是的Struts2框架的站点,如下图,真是初心又大意,整个人直接瓜兮兮!
结尾为.do/.action以我的认知那就是Struts2框架,就是jsp的脚本语言,jsp大多数用oracle数据库。
换个函数吧... if换成decode
构造payload:decode(length(user)1,1,0)
返回结果不是502了变成500了
数据库是整对了,但是orcale数据库函数不熟悉呀
其他绕过方式由于没截图就跳过了,直接进入结果吧====脏数据绕过
在数据包里面插入了一万个x作为脏数据进行绕过。
爆破得到user长度为:5
绕过成功,长度爆出来了 提交edusrc就可以了,就没继续深入了
脏数据绕过原理:即传入一段长数据使waf失效,从而实现绕过waf。
某些waf处理POST的数据时,只会检测开头的8K,后面选择全部放过。
例如,当发现某网站存在一个反序列化漏洞时,但是无回显,被waf拦截了 利用脏数据插入9000个x字符,可以成功绕过。
详细原理可百度细查,以上只是个人观点。
根据观察数据包发现us值,权限可能是根据后面的数字进行检验,原本是us=3,随后按照上述思路改成us=2;列数也从100改成1000
全部放包后查看到日志,得到用户上传的文件下载地址。
通过拼接返回的路径可下载用户敏感信息 ps:(所有文件均在渗透测试结束,提交报告后进行永久删除处理)
还可查看用户登录的信息,ip、验证码信息、电话号码等等
以及学生用户上传的各种学位证书、毕业证书、学生证、sfz等等。
ps:(所有文件均在渗透测试结束,提交报告后进行永久删除处理)
最后,至于本文提到的哪个waf被绕过了就靠各位大佬自行进行信息收集啦,勿取关,球球啦ing
威零安全,星球永久开放,内容包括:实战报告+hvv红蓝资料+代码审计+免杀+渗透学习资源+各种资料文档+直播课短期一年,后续将开发自己的红队工具库供大家使用。有需要的可以添加后台微信联系本人。
或者翻到文章末尾添加机器人进群考察。
由于“威零安全交流群”群聊人数已满200人,扫码进不了的师傅可以添加机器人secbot回复“威零科技”即可加入群聊
原文始发于微信公众号(威零安全实验室):催更系列第二弹(某211大学Waf绕过)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论