用户
搜索

[思路/技术] 绕过某狗

  • TA的每日心情
    难过
    2019-9-7 21:46
  • 签到天数: 22 天

    连续签到: 1 天

    [LV.4]经常看看II

    i春秋-脚本小子

    Rank: 2

    3

    主题

    30

    帖子

    397

    魔法币
    收听
    2
    粉丝
    0
    注册时间
    2017-6-4
    发表于 2019-9-1 17:43:59 135802
    实验环境
    • 网站安全狗v4.0
    • apache 2.4.27
    • php 5.6
    • MySQL 5.7
    • win7
    • 我们需要到安全狗官网上去下载最新版的网站安全狗(我用的apache版),将防护等级调到最高,这也是各个网站管理员经常做的事
    0x00起因

    看到别人都有绕waf的payload以及很骚的思路,想了想,这样下去不行啊。总不能找人家要吧,于是我开启了我的bypass之路,大佬勿喷!!

    0x00过程

    1.PNG

    准备完毕后,开始,首先判断注入     习惯性先来一个单引号'  
    输入一个单引号发现把错存在注入
    2.PNG

    然后再  and 1=1 发现给拦截掉了,说明某狗判断了空格符和%20这两个,看来 and 2=2也是会给拦截。
    3.PNG
    然后我们来试试这个看能不能绕过  然后试试and -1=-1,这个没有拦截可以显示数据 然后再去试一下-1=-11

    4.PNG

    5.PNG



    没有拦截,初步判断,他这里是检测数字,那么我们尝试/*!1*/






    7.PNG


    8PNG.PNG




    最后再告诉大家,绕过waf这种东西,要知道懂得如何去判断他们过滤那些涵数以及特殊字符用他们来构造可以很容易绕过waf,本人小白一个,第一次写文章,有哪里不行的请多大佬们多多指教。















    看不懂但是很有技术
    使用道具 举报 回复
    本帖最后由 风无涯 于 2019-9-4 09:25 编辑

    有点标题党了,判断是否存在注入不是绕过waf。。。fuzz一下不行吗?

    使用道具 举报 回复
    这种一出来就修复了
    使用道具 举报 回复
    爱兮i 发表于 2019-9-3 20:51
    看不懂但是很有技术

    谢谢支持

    评分

    参与人数 1魔法币 +2 收起 理由
    爱兮i + 2

    查看全部评分

    使用道具 举报 回复
    风无涯 发表于 2019-9-4 09:22
    有点标题党了,判断是否存在注入不是绕过waf。。。fuzz一下不行吗?

    这个你不信,你自己可以去测试一下本地搭建环境,可以判断是否存注入,也可以绕过waf,也是一种fuzz
    使用道具 举报 回复
    发表于 2019-9-5 09:40:47
    毛毛求求 发表于 2019-9-4 20:27
    这个你不信,你自己可以去测试一下本地搭建环境,可以判断是否存注入,也可以绕过waf,也是一种fuzz ...

    没有拿到字段,数据库名,表名,列名,数据,你就说绕过了waf?
    你说的“可以判断是否存注入,也可以绕过waf,也是一种fuzz”,我怀疑你知道fuzz是什么吗,你看你写的文章,字段数都没有搞出来,就是简单的判断是否存在注入,就说绕过了,不是标题党???
    使用道具 举报 回复
    风无涯 发表于 2019-9-5 09:40
    没有拿到字段,数据库名,表名,列名,数据,你就说绕过了waf?
    你说的“可以判断是否存注入,也可以绕过 ...

    我只是演示一下,字段怎么就不可以,我懒得去弄了
    使用道具 举报 回复
    发表于 2019-9-5 18:33:21
    毛毛求求 发表于 2019-9-5 15:59
    我只是演示一下,字段怎么就不可以,我懒得去弄了

    强行解释,666!
    使用道具 举报 回复

    没有啊,
    使用道具 举报 回复
    正常不都 屏蔽sql语句关键词码
    使用道具 举报 回复
    发表于 2019-9-10 22:12:40
    学习了,反正不是坏处
    使用道具 举报 回复
    这样的只能注入到库,不能注出表和字段的 上个月就测试过了
    使用道具 举报 回复
    发表于 2019-9-18 17:42:52
    挺有意思不错
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册