@1kbfree
2018-08-23T23:38:44.000000Z
字数 2666
阅读 1275
渗透测试
此文并非抄袭,而是把文章中作者没写清楚的知识点写出来,然后更为人性化的输出来(吹个牛皮),也是为了让自己印象更加深刻~
首先第一步作者使用的注入点代码是
<?php
...
$id=$_REQUEST['id'];
$query = "SELECT * FROM admin WHERE id = $id ";
...
可以看到上面的代码是直接将$id
参数代入然后执行sql
语句的,然后下面就是这里加上waf
后绕过的总结
waf
waf
呢可以当作是王者荣耀里面的防御塔,然后里面有一个玩家在想,我去挂机一会,然后在防御塔里面(非泉水,哈哈哈哈)待着就不会死,但是他们忘记了,英雄刘禅的4个技能是可以让防御塔眩晕的,而且还有干扰技能可以让防御塔眩晕一段时间,那么这个时间内如果输出伤害足够的话就可以让在防御塔下面的对手打shi,那么这个防御塔类似就是waf
,但是他并不是绝对的安全的,就好像我说的那几个英雄和技能之类的,所以想要解决安全的根本问题,还是要在代码处将功能点写安全才行。
一般来说waf
都是用正则匹配Url
中是否存在某个值,如果存在一个值是waf
中设置了拦截的,那么他是不能够访问的,就比如我们经常在url
的参数中输入了and sleep()
、union select
、select
这些都是会给拦截的,那么这里就是因为有waf
检测到了url
的参数中带有非法字符,但是在不常出现的情况下,我们需要访问一个登陆管理界面的Url
为www.xxx.com/admin.php?action=select
,那么这里是存在select
的,那么waf
就会去拦截的,所以就会有一个功能,就是网站后台白名单,所以如果管理员很调皮的设置了一些常用的注入语句为白名单的话,基本上他就会被祭tian的。
waf
这里也讲的比较清楚,如果还是不懂的话我还是讲一下把。
可以看到图中访问的Url
是
www.xxx.com/test.php/1.png?id=1 union select 1,2,schema_name from information_schema.SCHEMATA
可能有人会问(应该是懒人把,因为勤快的人会自己搭建来尝试的),这里的1.png
是不存在的,为什么可以访问呢(这里我也不懂,而且也搜索不到,但是我猜测是php
把/
后面的内容当参数了但是我去打印了一下发现并没有,5555,如果有知道准确原因的师傅可以来告诉我一下),然后我自己搭建了一下,如下图
虽然我不懂为什么在/
后面加上任何参数都可以照常访问,但是我知道他这里绕过的具体方式,就是一般的waf
搭建起来的话要去检查每个用户访问的url
,这相当的耗费性能,所以这个waf
不会去拦截静态的文件也就是图片文件,css
后缀文件和js
后缀文件这些,那么原文中访问的www.xxx.com/test.php/1.png?id=1 union select 1,2,schema_name from information_schema.SCHEMATA
就是把这个当作静态文件了,所以没有做拦截~
这个漏洞我不太懂(所以直接看原文把,啊哈哈哈哈),但是感觉非常神,所以有空的时候再去了解一下
这个也是没有了解过的绕过方法,实在是学习了一大波了
这里也讲的非常清楚啦~,所以不再说了~
GET
、POST
请求时,会进入POST
逻辑,而忽略了GET
请求的有害参数输入,可轻易Bypass
。因为这个比较好理解,而且原文也实际操作了,所以不再重复啦~
原文里是构造了怎么一个代码,如下
<html> <head></head> <body>
<form action="http://192.168.204.128/test.php" method="post" enctype="multipart/form-data">
<input type="text" name="id">
<input type="submit">
</form>
</body> </html>
然后在浏览器打开并在输入框中输入参数
然后我在本地测试一下看看能不能用这个方法来传递参数
hello.html
文件,他的代码是
<html>
<head></head>
<body>
<form action="http://127.0.0.1/hello.php" method="get" enctype="multipart/form-data"> <!--method的值是什么,他就是以什么请求方式传递的-->
<input type="text" name="id">
<input type="submit">
</form>
</body>
</html>
hello.php
文件,他的代码是
<?php
var_dump( $_GET );
然后在浏览器打开hello.html
页面,如下
然后点击查询
可以看到链接成功带了id=only_free
所以说用这个方式也可以传递参数的,学习了~
利用编码绕过检测很容易理解的,就比如你在考试的时候你想作弊,但是你旁边有个人工智能机器人,检查到你说话中如果存在答案
、看下
、第x题
等作弊相关的中文词的话就会警报,那么如果你改用英语,法语,手语的话就没办法检测出来,那么这个waf
也是一样的,如果只判断了union select
不能存在的话我们可以这样Union Select
用大写的方式绕过,那么原文中的绕过方式是
这里利用的是Url
编码
如果waf
过滤了union select
以及大写小写的话我们可以用Mysql
数据库的特性来绕过,首先打开我自己的mysql
命令行来讲解
可以看到上图中我们输入了
select 123
和
select/**/123/*!*/;
他们输出的结果一样,说明空格可以用/**/
来代替
那么原文处的讲解肯定很容易看明白了吧~
这个脚本就是根据%0a+内联注释为例,主要是针对
union select from
等关键字替换,Payload中的部分关键字可能会被waf拦截,需要一步步调试,测试,总结规律,因为代码不是看的非常懂,所以暂不讲解~
最后希望各位都能够实现自己的梦想,每天都比昨天厉害~念念不忘,必有回响。