下午收到同事的消息说使用xray扫出了客户某个系统存在SQL注入漏洞,让帮忙复现一下。这种要求那肯定是要满足的,直接开干,但是不幸的是在测试过程发现存在waf拦截,一问才知道客户有sxf和qax两个厂家的waf,没办法只能硬着头皮绕waf了
01 — 下午刚值完班收到同时的消息客户某个系统使用Xray扫出来存在SQL注入漏洞,丢了一个数据包给我 该说不说Xray还真是好用,被动扫描开启框框一顿点就能出洞真的nice 遇见这种请求那肯定是要满足的,直接yakit启动开测
02 — 看了下数据包存在注入应该就是delername和dealerid两个参数,先试试dealerid这个,发现这个参数是做了类型判断,应该是只接受数字,不是数字直接返回值无效 那就换一个参数测,发现存在漏洞,但是有waf,被拦截了 问了一下好家伙两个厂家的waf,同事说加白那就多不符合我的风格,就是要挑战有难度的,开始绕过
03 — 尝试了很多方法,都被拦截了,内联注释/*!*/带了感叹号直接拦截 最后想了想要不试试超长数据包看看能不能行,很多waf为了防止资源消耗太大,对长度进行了一定限制 别说你还真别说,就这么水灵灵过去了,还真是大道至简 这里有点不懂的地方虽然过去了,但是使用报错注入的时候还是存在拦截,不知道是什么情况,时间有限只能硬着头皮用盲注了 获取数据库名长度为4,还好不算很长 直接写脚本注入,本来想使用二分法节约时间,但是发现ascii()也被ban了,只能一个字符一个字符的去试了 最终也成功获取到了数据库名 04 — 让同事确认下数据库名也成功对上了,获取数据库之后就算是证明了存在漏洞了 好了收工下午还要继续累死累活的值班头痛 这里时间有限就没有深入测试其他的绕过方式,SQL注入的绕过方法还是有很多的,有时间再一个个去试试吧
原文始发于微信公众号(sec0nd安全):【waf绕过】SQL注入绕过QAX、SXF waf
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论