无问网安模型实战 | sql注入 bypass

admin 2025年3月18日21:38:45无问网安模型实战 | sql注入 bypass已关闭评论5 views字数 748阅读2分29秒阅读模式

本次是攻防演练当中的一次sql注入 bypass随笔记录。也是第一次使用网安模型进行渗透测试

无问网安模型实战 | sql注入 bypass

可以看到这是一个档案管理系统,首先就是判断是否存在SQL注入

无问网安模型实战 | sql注入 bypass

Burp抓包正常登录后,提示账号或密码错误

输入单引号之后报错

无问网安模型实战 | sql注入 bypass

两个单引号正常

无问网安模型实战 | sql注入 bypass

证明有很大的可能存在SQL注入。

服务器使用的是aspx,而且末尾加上--可以正常返回,所以大概率是mssql数据库。

构造一下闭合。试试or 1=1.

admin' or'1'=1,发现直接被WAF拦截了。

无问网安模型实战 | sql注入 bypass

后续的bypass为了节约时间就直接用的AI来处理。

我这里用的是无问AI模型,感觉在网安方面的问题处理能力还是很不错的,相比其他的那些模型回答的要专业很多。

地址:http://chat.wwlib.cn

需要登录后才能用。

无问网安模型实战 | sql注入 bypass
无问网安模型实战 | sql注入 bypass

这里是给了我10余种绕过方法。逐一进行尝试之后。发现'+str(1/1)+' 可成功绕过

无问网安模型实战 | sql注入 bypass

果然,1/1是正常的。而1/0会报错,由此可以看出我们可以根据真和假来构造注入了

无问网安模型实战 | sql注入 bypass

通过无问AI给我们的提示,我们先来判断user的长度

Payload: admin'+str(1/(len(user)-1))+'

无问网安模型实战 | sql注入 bypass

1正常,我们就一直试,发现到-3时,又报错了,说明user的长度为3

无问网安模型实战 | sql注入 bypass

到这里,我们才终于能够确定user的长度。接下来,就是跑他的值了,我们继续求助无问AI

无问网安模型实战 | sql注入 bypass

AI建议我们使用substring来测试,那我们直接substring试试看。这里我们使用ascii码来判断user的值。

无问网安模型实战 | sql注入 bypass

通过尝试发现100报错,说明第一位为d

无问网安模型实战 | sql注入 bypass

第二位98,那就是b

无问网安模型实战 | sql注入 bypass
无问网安模型实战 | sql注入 bypass

第三位111 那就是o

连起来就是dbo

至此,证明user的值为dbo

总结

这次的测试还是很流畅的,至少补齐了我bypass waf的短板。

也不得不说这个模型在渗透测试上确实是能提供很有价值的技术辅助。

原创文章,欢迎转载

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月18日21:38:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   无问网安模型实战 | sql注入 bypasshttps://cn-sec.com/archives/3836506.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.