WAF机制及绕过方法总结:注入篇
任务目标
1.收集网络上各种sql注入时使用的payload并理解其适用的环境(检测注入、利用注入);
2.记录sqlmap的检测和利用过程中使用的payload;
3.理解以上涉及的sql语句的意思,其中会涉及不同的数据库、不同注入场景。将收集方式和学习过程整理形成报告;
4.扩展学习:理解sqlmap自带tamper的原理
0x01 Payload收集
以下payloads都基于单引号字符型注入。若是整型注入则把单引号和注释符(–+)去掉,若是双引号注入则把单引号换成双引号。
我们把注入场景分为:
联合查询注入
报错型注入
布尔盲注
时间盲注
联合查询注入
使用场景
页面上有显示位
什么是显示位:在一个在一个网站的正常页面,服务端执行SQL语句查询数据库中的数据,客户端将数 据展示在页面中,这个展示数据的位置就叫显示位 。
Payload
1.判断当前数据表中有几列:
2.查看显示位在第几列(假设一共三列):
注意:这里必须是查询一个不存在的记录才能起作用。
3.显示当前数据库(假设显示位中包含第三位):
4.查看当前数据库中的所有表:
函数
group_concat()把所有结果都在一行输出
5.查询所有数据库:
6.查询某个数据库中的表:
7.查询某个表中的所有字段:
8.查询某个表中的字段内容
0x3a会被转义位冒号
:
报错型注入
使用场景
页面上没有显示位但是有sql语句执行错误信息输出。
Payload
主要有三种SQL注入报错方式:
ExtractValue
UpdateXml
floor
ExtractValue
首先来看ExtractValue()函数,它接受两个字符串参数,第一个参数可以传入目标xml文档,第二个参数是用Xpath路径法表示的查找路径。这里如果Xpath格式语法书写错误的话,就会报错。这里就是利用这个特性来获得我们想要知道的内容。例如:
利用concat函数将想要获得的数据库内容拼接到第二个参数中,报错时作为内容输出。
UpdateXml
UpdateXML(xml_target, xpath_expr, new_xml)
xml_target:: 需要操作的xml片段
xpath_expr: 需要更新的xml路径(Xpath格式)
new_xml: 更新后的内容
不过这些参数都不太重要,这里和上面的extractvalue函数一样,当Xpath路径语法错误时,就会报错,报错内容含有错误的路径内容:
Floor
有关floor()函数的注入原理可以看这篇文章。
固定格式:
******替换为查询语句即可。
1.查询数据库
2.查询某个数据库中的表
3.查询表中的字段
4.查询表中的字段内容
修改limit x,1 可以显示第x个用户的password和username。
布尔盲注
使用场景
页面没有显示位,也没有SQL语句执行错误信息,只能通过页面返回是否正常来判断注入点。
Payload
有用到二分法的思想
数据库名相关
1.查询数据库个数
2.查询某一个数据库名的长度
3.查询某个数据库名
数据表相关
1.查询表的个数
2.查询表的长度
3.查看某个表名
字段相关
1.查看某个表中的字段个数
2.查看某个字段名的长度
3.查看某个字段名
记录内容相关
1.查看表中行数
2.查看某个字段内容的长度
3.查看某个字段的内容
时间盲注
使用场景
页面上没有显示位,也没有输出SQL语句执行错误信息。正确的SQL语句和错误的SQL语句返回页面都一样,但是加入sleep(5)条件之后,如果if条件成立则页面的返回速度明显慢了5秒。
Payload
与布尔盲注的思想类似
1.判断数据库的个数
2.判断数据库名的长度
3.查询数据库名
0x02 SQLMap Payload
1.以sqlilab中的Less-8为例(布尔型单引号GET盲注),查看sqlmap中使用的payloads,执行命令:
首先获取数据库的个数:
函数解释:
Payload解释:
0-9的字符ASCII值对应的是48-57,所以sqlmap首先判断的>51也就是>3,因为mysql本身就有六个数据库但world、test、sakila这三个数据库没什么用可以删除,那么最少应该有三个数据库,performance_schema和information_schema和mysql。
假如数据库的数量是>3的话,那么就相当于1' and true返回页面不会出现问题,如果返回页面不是正确页面的话我们就可以确定一共有三个数据库(都是默认的)或者是由10多个数据库(20多个也是有可能的),十位是1,2总之是小于等于3的。
再获取每个数据库名(这里也mysql为例):
其实道理和上述的一样进行猜解,通过判断每一位的ASCII码值来确定每个字母。
ORD(string) :返回字符串首字符的ASCII码值。
MID(string,start,length) :返回字符串的从start开始长度为length的字符串。IFNULL(string1,string2) :如果string1是NULL则返回string2,如果不是NULL返回string1。
CAST(volume as type) 用于数据类型转换,将volume转换成type类型的数据(如这里是将数字转换为字符串)。
COUNT():统计个数。
DISTINCT():标记只要不同(唯一)的值。
再以sqlilab中的Less-4为例(基于错误的GET双引号字符型注入),查看sqlmap中使用的payloads,执行命令:
SQLMap执行的payload如下所示:
0x03 SQLMap Tamper
SQLMap的tamper使用命令如下:
常用的tamper脚本
1.apostrophemask.py
适用数据库:ALL
作用:将引号替换为utf-8,用于过滤单引号
使用脚本前:tamper(“1 AND ‘1’='1”)
使用脚本后:1 AND %EF%BC%871%EF%BC%87=%EF%BC%871
2.base64encode.py
适用数据库:ALL
作用:替换为base64编码
使用脚本前:tamper(“1’ AND SLEEP(5)#”)
使用脚本后:MScgQU5EIFNMRUVQKDUpIw==
3.multiplespaces.py
适用数据库:ALL
作用:围绕sql关键字添加多个空格
使用脚本前:tamper(‘1 UNION SELECT foobar’)
使用脚本后:1 UNION SELECT foobar
4.space2plus.py
适用数据库:ALL
作用:用加号替换空格
使用脚本前:tamper(‘SELECT id FROM users’)
使用脚本后:SELECT+id+FROM+users
5.nonrecursivereplacement.py
适用数据库:ALL
作用:作为双重查询语句,用双重语句替代预定义的sql关键字(适用于非常弱的自定义过滤器,例如将
select替换为空)
使用脚本前:tamper(‘1 UNION SELECT 2–’)
使用脚本后:1 UNIOUNIONN SELESELECTCT 2–
6.space2randomblank.py
适用数据库:ALL
作用:将空格替换为其他有效字符
使用脚本前:tamper(‘SELECT id FROM users’)
使用脚本后:SELECT%0Did%0DFROM%0Ausers
7.unionalltounion.py
适用数据库:ALL
作用:将union allselect 替换为unionselect
使用脚本前:tamper(’-1 UNION ALL SELECT’)
使用脚本后:-1 UNION SELECT
8.securesphere.py
适用数据库:ALL
作用:追加特定的字符串
使用脚本前:tamper(‘1 AND 1=1’)
使用脚本后:1 AND 1=1 and ‘0having’=‘0having’
9.space2dash.py
适用数据库:ALL
作用:将空格替换为–,并添加一个随机字符串和换行符
使用脚本前:tamper(‘1 AND 9227=9227’)
使用脚本后:1–nVNaVoPYeva%0AAND–ngNvzqu%0A9227=9227
10.space2mssqlblank.py
适用数据库:Microsoft SQL Server
测试通过数据库:Microsoft SQL Server 2000、Microsoft SQL Server 2005
作用:将空格随机替换为其他空格符号(’%01’, ‘%02’, ‘%03’, ‘%04’, ‘%05’, ‘%06’, ‘%07’,
‘%08’, ‘%09’, ‘%0B’, ‘%0C’, ‘%0D’, ‘%0E’, ‘%0F’, ‘%0A’)
使用脚本前:tamper(‘SELECT id FROM users’)
使用脚本后:SELECT%0Eid%0DFROM%07users
11.percentage.py
适用数据库:ASP
测试通过数据库:Microsoft SQL Server 2000, 2005、MySQL 5.1.56, 5.5.11、PostgreSQL
9.0
作用:在每个字符前添加一个%
使用脚本前:tamper(‘SELECT FIELD FROM TABLE’)
使用脚本后:%S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
12.sp_password.py
适用数据库:MSSQL
作用:从T-SQL日志的自动迷糊处理的有效载荷中追加sp_password
使用脚本前:tamper('1 AND 9227=9227-- ')
使用脚本后:1 AND 9227=9227-- sp_password
13.charencode.py
测试通过数据库:Microsoft SQL Server 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、
PostgreSQL 8.3, 8.4, 9.0
作用:对给定的payload全部字符使用url编码(不处理已经编码的字符)
使用脚本前:tamper(‘SELECT FIELD FROM%20TABLE’)
使用脚本后:%53%45%4C%45%43%54%20%46%49%45%4C%44%20%46%52%4F%4D%20%54%41%42%4C%45
14.randomcase.py
测试通过数据库:Microsoft SQL Server 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、
PostgreSQL 8.3, 8.4, 9.0
作用:随机大小写
使用脚本前:tamper(‘INSERT’)
使用脚本后:INseRt
15.charunicodeencode.py
适用数据库:ASP、ASP.NET
测试通过数据库:Microsoft SQL Server 2000/2005、MySQL 5.1.56、PostgreSQL 9.0.3
作用:适用字符串的unicode编码
使用脚本前:tamper(‘SELECT FIELD%20FROM TABLE’)
使用脚本后:
%u0053%u0045%u004C%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004C%u0044%u0020%u
0046%u0052%u004F%u004D%u0020%u0054%u0041%u0042%u004C%u0045
16.space2comment.py
测试通过数据库:Microsoft SQL Server 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0
作用:将空格替换为/**/
使用脚本前:tamper(‘SELECT id FROM users’)
使用脚本后:SELECT/**/id/**/FROM/**/users
17.equaltolike.py
测试通过数据库:Microsoft SQL Server 2005、MySQL 4, 5.0 and 5.5
作用:将=替换为LIKE
使用脚本前:tamper(‘SELECT * FROM users WHERE id=1’)
使用脚本后:SELECT * FROM users WHERE id LIKE 1
18.equaltolike.py
测试通过数据库:MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0
作用:将>替换为GREATEST,绕过对>的过滤
使用脚本前:tamper(‘1 AND A > B’)
使用脚本后:1 AND GREATEST(A,B+1)=A
19.ifnull2ifisnull.py
适用数据库:MySQL、SQLite (possibly)、SAP MaxDB (possibly)
测试通过数据库:MySQL 5.0 and 5.5
作用:将类似于IFNULL(A, B)替换为IF(ISNULL(A), B, A),绕过对IFNULL的过滤
使用脚本前:tamper(‘IFNULL(1, 2)’)
使用脚本后:IF(ISNULL(1),2,1)
20.modsecurityversioned.py
适用数据库:MySQL
测试通过数据库:MySQL 5.0
作用:过滤空格,使用mysql内联注释的方式进行注入
使用脚本前:tamper(‘1 AND 2>1–’)
使用脚本后:1 /!30874AND 2>1/–
21.space2mysqlblank.py
适用数据库:MySQL
测试通过数据库:MySQL 5.1
作用:将空格替换为其他空格符号(’%09’, ‘%0A’, ‘%0C’, ‘%0D’, ‘%0B’)
使用脚本前:tamper(‘SELECT id FROM users’)
使用脚本后:SELECT%0Bid%0DFROM%0Cusers
22.modsecurityzeroversioned.py
适用数据库:MySQL
测试通过数据库:MySQL 5.0
作用:使用内联注释方式(/!00000/)进行注入
使用脚本前:tamper(‘1 AND 2>1–’)
使用脚本后:1 /!00000AND 2>1/–
23.space2mysqldash.py
适用数据库:MySQL、MSSQL
作用:将空格替换为 – ,并追随一个换行符
使用脚本前:tamper(‘1 AND 9227=9227’)
使用脚本后:1–%0AAND–%0A9227=9227
24.bluecoat.py
适用数据库:Blue Coat SGOS
测试通过数据库:MySQL 5.1,、SGOS
作用:在sql语句之后用有效的随机空白字符替换空格符,随后用LIKE替换=
使用脚本前:tamper(‘SELECT id FROM users where id = 1’)
使用脚本后:SELECT%09id FROM users where id LIKE 1
25.versionedkeywords.py
适用数据库:MySQL
测试通过数据库:MySQL 4.0.18, 5.1.56, 5.5.11
作用:注释绕过
使用脚本前:tamper(‘1 UNION ALL SELECT NULL, NULL,
CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER() AS
CHAR),CHAR(32)),CHAR(58,100,114,117,58))#’)
使用脚本后:1/!UNION//!ALL//!SELECT//!NULL/,/!NULL/,
CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER()/!AS//!CHAR/),CHAR(
32)),CHAR(58,100,114,117,58))#
26.halfversionedmorekeywords.py
适用数据库:MySQL < 5.1
测试通过数据库:MySQL 4.0.18/5.0.22
作用:在每个关键字前添加mysql版本注释
使用脚本前:tamper(“value’ UNION ALL SELECT
CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS
CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND ‘QDWa’='QDWa”)
使用脚本后:
value’/!0UNION/!0ALL/!0SELECT/!0CONCAT(/!0CHAR(58,107,112,113,58),/!0IFNUL
L(CAST(/!0CURRENT_USER()/!0AS/!0CHAR),/!0CHAR(32)),/!0CHAR(58,97,110,121,58
)),/!0NULL,/!0NULL#/!0AND ‘QDWa’='QDWa
27.space2morehash.py
适用数据库:MySQL >= 5.1.13
测试通过数据库:MySQL 5.1.41
作用:将空格替换为#,并添加一个随机字符串和换行符
使用脚本前:tamper(‘1 AND 9227=9227’)
使用脚本后:1%23ngNvzqu%0AAND%23nVNaVoPYeva%0A%23lujYFWfv%0A9227=9227
28.apostrophenullencode.py
适用数据库:ALL
作用:用非法双字节Unicode字符替换单引号
使用脚本前:tamper(“1 AND ‘1’='1”)
使用脚本后:1 AND %00%271%00%27=%00%271
29.appendnullbyte.py
适用数据库:ALL
作用:在有效载荷的结束位置加载null字节字符编码
使用脚本前:tamper(‘1 AND 1=1’)
使用脚本后:1 AND 1=1%00
30.chardoubleencode.py
适用数据库:ALL
作用:对给定的payload全部字符使用双重url编码(不处理已经编码的字符)
使用脚本前:tamper(‘SELECT FIELD FROM%20TABLE’)
使用脚本后:%2553%2545%254C%2545%2543%2554%2520%2546%2549%2545%254C%2544%2520%2546%2552%254F
%254D%2520%2554%2541%2542%254C%2545
31.unmagicquotes.py
适用数据库:ALL
作用:用一个多字节组合%bf%27和末尾通用注释一起替换空格
使用脚本前:tamper(“1’ AND 1=1”)
使用脚本后:1%bf%27 AND 1=1–
32.randomcomments.py
适用数据库:ALL
作用:用注释符分割sql关键字
使用脚本前:tamper(‘INSERT’)
使用脚本后:I//N//SERT
作者:ca0y1h's Blog
原文:https://ca0y1h.top/
