喜爱就关心我啊，定阅大量最新动态

近期在提前准备找个工作,有一家企业发来来啦那样一条信息,因此拥有本文.

因文中是bypass取得成功后,才写的很有可能会缺乏一些图.(消耗本菜狗大半天時间,由于以前全是mysql搞的多,也有便是sqlmap一把梭.差点儿把传统手艺都丟了.)

涉及到知识要点实际操作-SQL注入

本试验以PHP和mysql为自然环境，简易展现了SQL的产生基本原理和利用全过程，根据显错注入和盲注的比照，更形象化呈现注入的不一样利用方式。点一下阅读实际操作起來！

取得总体目标后,我也急不可耐的立即开启

开启详细地址一看是出错的,我还以为每日任务是必须根据信息收集取得shell,最终再拿数据信息.我一直在想开场就送个信息内容泄露?

最终瞎折腾一番以后发觉没有什么突破点.回家再看以前的详细地址发觉又能浏览了.

疏忽了,沒有闪

最终见到页面是那样的(能开启彻底靠运势,尤其是在夜里)

见到这一页面后,我就知道,原来是想测老头子的sql注入? 我那时候想着不容易用sqlmap一把梭就进去吧!

随后我也先用试试注入点

再次试试

好小子,竟然有狗小小一条就能难到我?开启burp,逐渐手注

立即把要求改成post,试试垃圾数据添充能否bypass

转化成垃圾数据

好小子,也有个宝塔面板waf,来看垃圾数据添充早已不太好用了

再试试分层传送bypass

還是一样(对分层传送没有什么科学研究,和一些数据库查询特性融合应当還是可以用的,并不是文中的关键)

下面,逐渐fuzz

试试没有select

发觉能够 ,再次试试,和

这表明宝塔面板与狗全是对select 后边跟值开展阻拦

大家再次试试联合查询

略见一斑還是一样,这两兄弟好伙伴啊,换着来.因为文中关键是在学习培训手注入和bypass下边逐渐bypass,我这边准备写个payload搞混专用工具bypass

在写专用工具前大家得了解bypass的常见技法吧?

我这边大约梳理了有以下几类

利用网络服务器特性

利用数据库查询特性

利用WAF特性

因此为了更好地更强的bypass,大家就得掌握对这种特性有一定的掌握,由于我的当今总体目标是iis aspx,那大家就得了解一下iis和mssql特性来开展bypass

iis特性

下边节选自 bypass巨头的waf防御实战演练手记

1、%特性(ASP IIS)

在asp iis的自然环境中存有一个特性,便是特殊字符%,在该自然环境下当们我键入s%elect的情况下,在WAF层很有可能分析出去

的結果便是s%elect,但是在iis asp的自然环境的情况下,分析出去的結果为select。

Ps.这里猜想可能是iis下asp.dll分析情况下的难题,aspx iis的自然环境就沒有这一特性。

2、%u特性(asp iis和aspx iis)

Iis网络服务器适用针对unicode的分析,比如大家针对select中的标识符开展unicode编号,能够 获得以下的

slect ,这类标识符在IIS接受到以后会被变换为select,可是针对WAF层,很有可能接受到的內容還是

slect,那样便会产生bypass的很有可能。

3、极具特色%u特性(ASP IIS)

该系统漏洞关键利用的是unicode在iis分析以后会被转化成multibyte,可是变换的全过程中很有可能发生: 好几个widechar会出现

很有可能变换为同一个标识符。举个例子便是例如select中的e相匹配的unicode为e,可是e一样会被变换变成 e。select->select select->select WAF层很有可能能鉴别select的方式,可是很有可能鉴别不上select的方式。那样就可以利用起來做WAF的 绕开。普遍三个关键词(union select from)的检测状况:

mssql特性

空白字符

Mssql能够 利用的空白字符有(必须在标识符前边加%):

注解符

注解符能够 用于替代空格符,或是和相互配合应用,还可以相互配合 (注解加自动换行)

独特标值

一般用在注入点上

如1.1或是1E0这种

运算符

下边节选自 404巨头的MSSQL_SQL_BYPASS_WIKI

在我们掌握完这种特性以后,立即进行,随后就打开了老头子的pycharm

下边立即省去检测全过程的照片,大伙儿能够 手工制作测还可以用intruder来跑.fuzz是个悠长的全过程,我这里只能够 大伙儿出示构思

先把空白字符和注解界定出去(经检测发觉也是有同样实际效果)

1.先把全部的空格符都用注解更换

2.对and和where开展解决,在他们前后左右任意加空白符,用于搞混这两个关键词

3.利用iis特性对下边这好多个关键词某一标识符用unicode编号更换

4.对下边这好多个合乎开展解决,

在一些涵数会被阻拦用于bypass

查看某某某库的某某某表如admin.user会被阻拦,用于bypass

5.最终扩展下payload接受.最后编码以下

早已装包提交github

详细地址:

随后就可以开心的手注了

从早期的看来,该注入点适用union注入和出错注入.我这边选用出错注入.

用union注入必须了解当今表有几行(和mysql一样用order by分辨),还必须回显点

用出错注入主要是用top命令相互配合not in来开展注入

爆库(mssql默认设置有四个库,大家必须加个标准,dbid>4)

那样仅仅曝出第一个库,爆其他还要用not in来相互配合清除已经知道的表

用union联合查询結果以下(列总数要和当今表一致,沒有的列用null团块)

从上边的数据信息能够 看得出,只有一个数据库查询

再次爆棚

第一张表为a999,用not in清除这张表再次爆别的的

为此内部推荐

最终得了下边这种表

'dtproperties','a999','wap_album','wap_albumre','admin','wap_bankLog','wap_bbs','wap_bbs_MarkSix','wap_bbs_MarkSix_bet','D99_CMD','temp','wap_background'

判断力跟我说数据信息很有可能是在a999(从姓名上分辨)

立即爆字段名,和爆棚一样的实际操作

获得了这种字段名

'id','siteid','airplaneid','airplanename','userid','username','num','tel','address','starttime','content','remark','addtime','state'

她们要的数据信息是:编号10的 那栏信息内容。包括 姓名 电話 详细地址

逐渐跑数据信息

随后再次把剩余的电話详细地址跑出去,上缴下班.

fuzz简直挺废時间了,文中是在bypass取得成功后所写.全过程消耗过多時间没截屏,构思都告知大伙儿了.融合起來用就可以.

或是会出现巨头想说为什么不,写个tamper来跑,

最终谢谢404和bypass巨头的文章内容,小兄弟受益匪浅.

不必只说不做,实际操作才算是真知

对waf的bypass也就那般,把标准弄清楚了就非常简单,脱壳破解也这般

union注入比出错注入香多了

1/26

热烈欢迎文章投稿至电子邮箱：

有才可以的你赶紧来文章投稿吧！

快戳“阅读”做射击场训练