欧美成人精品手机在线观看_69视频国产_动漫精品第一页_日韩中文字幕网 - 日本欧美一区二区

這篇文章搜集整理自@Junehck師傅的Github，記錄了他在實戰中遇到的各種WAF攔截SQL注入的場景和繞過姿勢，文章并不是完整的，僅記錄了Bypass部分。

https://github.com/Junehck/SQL-injection-bypass

0x01 %00繞過WAF

輸入一個單引號

頁面報錯

首先閉合，這里用')閉合

order by x 被攔截，用--%0a代替空格即可

直接上union select會一直卡著，沒有任何返回

把空格都改為--%0a，成功響應，在 select 跟 1,2,3... 之間用兩個 --%0a 會無響應

在 1 后面加上 %00 并 url 編碼，原理是 waf 把空字節認為是結束導致了后面的語句可以繞過

發現參數為 base64 編碼

133 and updatexml(1,concat(0x1,user()),1)

先 order by 獲取列數

嘗試使用聯合注入時就會被攔截，無限等待響應

這里我們使用emoji方式去代替空格來繞過 waf，成功注入出回顯

在后面加上 order by 1 被安全狗攔截

WAF 會避免消耗大量內存去匹配危險函數，故會直接忽略"有效注釋"中的內容，而攻擊者可以構造不存在的參數來實現"偽注釋"，這里我們構造

那么這里就無任何攔截了，可直接交給 sqlmap

頁面搜索功能嘗試輸入單引號，頁面 500 報錯并輸出了報錯信息

這里竟然有報錯我們就想著使用報錯注入，但是含有類似于updatexml這種關鍵字直接攔截

因為 get 繞過姿勢較少，我們嘗試把數據通過 post 發送，發現后端也接收，那么這里使用臟數據來繞過

單引號頁面報錯

這里我們打算使用 updatexml 來進行報錯輸出，在 url 后面添加 and 發現并沒有攔截，但是如果在 and 后面空格然后跟 updatexml 直接被攔截

這里我們的繞過方法是用運算符，and (+-/^)發現并沒有被攔截

updatexml參數為數字時被攔截

這里可以使用16進制或者科學計數法0x1或1e1

我們首先閉合一下后面的單引號，在后面加上and'讓他配合原有的單引號把%包裹起來

keywords=11'and-updatexml(0x1,,0x1)and'

現在我們來構造報錯內容，concat函數被攔截，這里使用 concat_ws()函數，將后面的參數用第一個值來分割，然后配合@@datadir輸出路徑

首先通過-1 /1/0運算判斷出存在數字型 sql 注入，一般來說 asp 都是用 access，這里使用--%0a的方式來構造 payload 也能正常執行，判斷出這里為 mssql

這里的測試 payload 是：

在 asp+iis 的環境下unicode在 iis 解析之后會被轉換成 multibyte，但是轉換的過程中可能出現：多個 widechar會有可能轉換為同一個字符

打個比方就是譬如 select 中的 e對應的 unicode 為%u0065，但是%u00f0同樣會被轉換成為e

首先測試延時 payload，將里面的o替換為%u00ba，返回時間正常

改為 1，頁面返回 3 秒，執行了 3 次，不管輸入多少都會被乘 3

寫個 tamper 即可使用 sqlmap 跑