用户
搜索

[原创] 绕过WAF注入 heatlevel

  • TA的每日心情
    奋斗
    2017-6-10 15:08
  • 签到天数: 24 天

    连续签到: 1 天

    [LV.4]经常看看II

    i春秋-核心白帽

    Rank: 4

    13

    主题

    359

    帖子

    123

    魔法币
    收听
    0
    粉丝
    4
    注册时间
    2016-3-19
    发表于 2017-8-1 13:07:13 2921514
    本帖最后由 w_uai 于 2017-8-1 13:09 编辑

    起因:由于在论坛看到了诚殷网络搞的日志追踪拿现金活动。链接:https://bbs.ichunqiu.com/thread-25379-1-1.html
    有点遗憾的是没拿到这个现金,期待下一波的活动。但是我却在文章1楼看到了诚殷论坛的金币兑换实物,然后我就速度去抢下了这本书(不要白不要,哈哈)。
    0.png
    害怕黑大佬不要我兑换,还特意问了下。为了感谢黑大佬的书,所以和各位大佬分享下最近fuzz的绕过注入方法。
    -------------------------------------------------------分割线------------------------------------------------------------------
    正文开始:
    找到一个有装有安全狗的站:
    1.png
    绕过拦截and 1=1:
    payload:
    id=1/*!and*/1=/*!1*/     即可绕过。

    通常order by 不会被拦截,拦截了绕过道理差不多。

    绕过拦截union select :
    3.png
    payload: id=1/*!union/*!select*/1,2,3

    但是我换个网站却不行了,感觉这个网站应该是只假狗.
    2.png
    可以看到这个办法被拦截了,其实不存在的,修改下就可以了,绕过waf在于灵活,不要死板。
    4.png
    可以看到又成功绕过了,payload:id=1/*!union/*!select/**/*/1,2,3

    绕过拦截from:
    5.png
    6.png
    7.png
    成功ko。以上我用了3个安装了安全狗的网站来测试的。

    既然话已至此,那多说点吧。
    绕过云锁注入:
    9.png

    绕过拦截union select:
    8.png
    payload:id=1 union%23aaaaa%26aaaa%0aselect 1,2,3

    那怎么出数据呢?绕过出数据的办法我也只有一种,所以就不公布了,我自己留着私用了。

    这里可能有的表哥就会说,这个绕过的办法在土司看到有表哥发过,但为什么我还在这里发呢?
    首先是我真比土司的表哥早几天发现这种办法,还有就是他讲解的也不是云锁这款waf。

    问:楼主真的比土司先发现???口说无凭,看下文说话!

    一次我在测试绕过360注入的时候偶然发现:
    10.png
    这个站支持同时post传递的方式,所以我就在post中操作,并且是apache的容器,开始我自己使用了hpp的传值来测试,这里说明问题的时候修改了下。
    11.png
    可以看到当存在‘’这个汉字的时候既不会拦截,但是怎么加语句都没有用,然后我抓包看了下,发现了这个汉字变成了&,感觉到这个符号可能能用来绕过拦截,然后我在get的方式下测试了,还是一样,无用,但是将其url编码成%26即可,然后我用来测试了下各个waf,发现云锁能成功绕过。

    拙文抛砖引玉,就看各位大佬发挥了,现在就等黑大佬的书送到家门口了!



    一晓 发表于 2017-8-1 16:47
    aspx  mssql怎么绕过呢


    个人拙见,其实换汤不换药的问题,每个数据库都有自身的特性,mysql无非就是利用支持/*任意字符*/为空格,支持内行注释/*!*/,常利用这两个特性来绕过。
    而且现在很多waf-get方式下直接拦截/**/等。
    举个栗子说吧,看图:


    1.png
    2.png

    多花点时间,灵活一点总会发现一些东西的!

    评分

    参与人数 1魔法币 +2 收起 理由
    Kernel_C + 2 老哥 6

    查看全部评分

    使用道具 举报 回复
    发表于 2017-9-14 17:36:39
    w_uai 发表于 2017-8-1 18:22
    个人拙见,其实换汤不换药的问题,每个数据库都有自身的特性,mysql无非就是利用支持/*任意字符*/为空格 ...

    我也在研究注入绕过wad,可不可以留个qq交流一下
    使用道具 举报 回复
    夕立 发表于 2017-8-2 10:41
    这一手就很舒服,唉,我这么说你懂吧,楼主分享的都是好东西

    皮的你头皮发麻  石乐志  瓜皮走位 看我王者之哇
    使用道具 举报 回复
    竹苓清散 发表于 2017-8-2 21:35
    敢问表哥怎么找到一堆有安全狗的网站的0.0

    百度,inurl:xxx.php?id=  这类的关键字,然后挨个点开每个链接,测试
    使用道具 举报 回复
    板凳说的很好,现在新点的WAF会直接拦截/**/
    板凳的方法很好!
    测试绕过以后,可以利用脚本中转绕过,使用工具进行快速注入
    使用道具 举报 回复
    发表于 2017-9-15 22:42:10
    本帖最后由 w_uai 于 2017-9-15 22:43 编辑
    tclhy 发表于 2017-9-14 17:36
    我也在研究注入绕过wad,可不可以留个qq交流一下

    表哥,qq已经短信发送,请签收。
    使用道具 举报 回复
    发表于 2017-8-1 16:47:58
    aspx  mssql怎么绕过呢
    使用道具 举报 回复
    发表于 2017-8-1 20:58:36
    就喜欢这种风骚走位,收藏,感谢分享~~
    使用道具 举报 回复
    发表于 2017-8-1 22:41:47
    cnfreiheit 发表于 2017-8-1 20:58
    就喜欢这种风骚走位,收藏,感谢分享~~

    哈哈,双眼失明丝毫不影响我带崩三路。
    使用道具 举报 回复
    发表于 2017-8-2 09:19:39
    厉害了,膜拜大佬
    最近一直苦于绕过
    使用道具 举报 回复
    发表于 2017-8-2 09:49:54
    感谢提供参考,学习
    使用道具 举报 回复
    发表于 2017-8-2 10:20:10
    学习了,不错不错!
    使用道具 举报 回复
    发表于 2017-8-2 10:41:46
    这一手就很舒服,唉,我这么说你懂吧,楼主分享的都是好东西
    使用道具 举报 回复
    发表于 2017-8-2 10:49:57
    学习大佬的方法,我要给你盖楼
    使用道具 举报 回复
    这都可以,6666+啊
    使用道具 举报 回复
    发表于 2017-8-2 12:17:22
    夕立 发表于 2017-8-2 10:41
    这一手就很舒服,唉,我这么说你懂吧,楼主分享的都是好东西

    感谢表哥赏脸了!
    使用道具 举报 回复
    发表于 2017-8-2 12:17:35
    黑桃6 发表于 2017-8-2 10:49
    学习大佬的方法,我要给你盖楼

    感谢表哥支持!
    使用道具 举报 回复
    这一手就很舒服,唉,我这么说你懂吧,楼主分享的都是好东西
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册