“ 生活中不是缺少美,而是缺少发现美的眼睛”
--罗丹
前言
—
最近除了工作中日常搬砖以外,偶尔也会挖挖src练练手,在挖站的过程中也算是巩固学习了,但是偶尔会遇到烦人的waf,那么应该如何绕过呢?废话不多说,咱们正式开席。
正文
—
目标站点是https://www.xxoo.com/
首先进行常规信息收集:真实IP、端口、中间件、cms等等,通过Chrome自带插件的得到信息如下,这里收集的信息的方式很多种,但是都不是本文重点,故忽略。
通过fofa插件获取到的端口信息如下:
通过插件获取到的url地址可以得知http://m.xxoo.com为站点的子域名,拿小本本先记下来。
首先访问主站大致浏览了得知全部为伪静态页面,修改了url参数后也是直接404服务器错误。
随后转战子域名看下,看的我一脸懵逼也全是伪静态,最后终于在快放弃的时候找到了一处数据交互的ID,后随手一个单引号页面报错,妥妥的sql注入~~,有的时候子域名就是这么的“优秀”。
既然如此,那就直接sqlmap一把梭吧。结果并不是一帆风顺,恶狗挡路,简直淦了。。。。。
IP直接被ban了……
但是作为一个合格的安服仔这就难道我了吗??
换个代理继续干,于是就用我扣脚的技术来尝试手工绕过下吧,通过报错的信息可以确定当前注入是整型注入。
and 1=1、and 1=2直接被拦截,真是一点面子不给
在这里既让已经确是整型的注入了,那么我们可以使用id=1e0(页面正常)、id=1e5(页面错误)来进行判断,同样也是适用于mysql数据库的。
包括and .1=.1、and .1=.2都是可以绕过安全狗来进行判断是否存在注入点的。
以下是我本地搭建的靶场测试结果
正常的页面。
错误的页面。
通过测试确实是可以判断注入点,并且也是能成功绕过安全狗的。
正常的结果页面返回。
错误的页面返回。
后面常规的语句走一波,判断数据库版本号,不出意外正常语句肯定被拦。
尝试将空格替换为+进行绕过,也是被拦截,空格替换为%20进行测试也还是被拦截。
这里我通过手工fuzz测试,得知将select删除就可以进行绕过了,语句构造如下”and+1=(@@version)--a”
判断当前数据库名,同样的当构造”and+1=(select db_name())--a”时被拦的死死的
构造”and+1=(db_name())--a”就可以成功绕过。
通过构造语句遍历”db_name(1)”里面的数值可以将所有数据库名爆出,这里我们拿到我们需要的数据库就行了,如下master数据等等……就不一一列举了。
下面就是判断”ixinweixw”数据库中的表名。
常规的判断表名的语句如下:
查询mssqlilabs数据库中的第一个表名
and 1=(select top 1 name from mssqlilabs..sysobjects where xtype='U')-- a
查询mssqlilabs数据库中所有的表名
and 1=((select name,%27||%27 from mssqlilabs..sysobjects where xtype='U' for xml path('')))-- a
正常语句被拦截:
后面通过手工fuzz知道这里拦截的是空格,并且参考前辈的文章得知
%1E在mssql中为空白符号,可以用来代替空格,那么这里将语句中的空格全部替换为%1E结果成功绕过。
爆出”ixinweixw”数据库第一个表。
爆出”ixinweixw”数据库中所有表。
常规判断字段的语句如下:
and 1=(select name,'||' from mssqlilabs..syscolumns where id=(select top 1 id from mssqlilabs..sysobjects where xtype='U' )for xml path(''))-- a
查询mssqlilabs数据库中第一个表中所有字段。
这里通过上面的返回结果,我们知道了”ixinweixw”数据库中第一个表名为”adminlogin”可能刚好就是我们需要的表名,所以构造语句就用我上面的语句即可,但是不出意外被拦截。
继续替换%20为%1E成功绕过。
然后就是直接读取username,password的值了,尽然还是明文存储的,也是牛批了。。
随后sqlmap简单写一个tamper一把梭。
总结:
通过以上的测试,得知在myssql中除了%1E可以替换空格之外
%1a、%1b、%1c、%1d等等均可以替换空格绕过waf进行注入。
本地测试结果如下:
页面正常
页面错误
最后顺带whois了下主站和子站,发现权重和流量都高的吓人,真让dd瑟瑟发抖。。。。
本文始发于微信公众号(IDLab):记一次手工SQLServer注入 bypass安全狗
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论