上个星期我被邀请组队去参加一个由CSAW组织的CTF夺旗比赛.因为老婆孩子的缘故,我只能挑一个与Web漏洞利用相关的题目,名字叫做”HorceForce”.这道题价值300点.这道题大概的背景是,你拥有一个低权限的帐号并需要找到方法来获得管理员权限. 当然,有很多种方法来介绍如何通过这关,但我想分享下我的通关经验. 当把一些单引号作为参数值发送之后返回了MySQL的典型报错信息“MySQL SQL Error Message”,因此可以轻易发现这里存在一个SQL注入漏洞. 然后,正如你了解的,我…
日常工作过程中,偶然发现一个网站登录页面,在页面返回包中存在一个隐藏参数"mess",且该页面部署了百度RASP进行防护,本文介绍如何发现隐藏参数以及如何通过参数污染方式造成XSS攻击.涉及信息较为敏感,请各位看官见谅. 一.参数污染 HTTP参数污染,也叫HPP(HTTP Parameter Pollution).当给一个参数赋两个值或者更多的值时,服务器对多次赋值参数的数据处理也是不同的,根据这个特征,可以对某些防护设备进行绕过. 如下: url:http://example.co…
WAF(web应用防火墙)逐渐成为安全解决方案的标配之一.正因为有了它,许多公司甚至已经不在意web应用的漏洞.遗憾的是,并不是所有的waf都是不可绕过的!本文将向大家讲述,如何使用注入神器SQLMap绕过WAFs/IDSs. svn下载最新版本的sqlmap svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev 我们关注的重点在于使用tamper脚本修改请求从而逃避WAF的规则检测.许多时候,你需要联合使用多个ta…
什么是WAF Web Application Firewall 通过执行一系列针对HTTP/HTTPS的安全策略来防御对Web应用的攻击. 目前主要有单设备WAF与云WAF WAF的现状 1.太多数WAF能够拦截较为普通的WEB攻击 2.大多数WAF没有针对热点漏洞奇葩攻击EXP防御的能力 3.基本所有的WAF都存在策略性绕过 4.由于waf的业务限制等各种原因导致存在通用绕过 WAF逻辑漏洞及白名单阶段的绕过 1.搜索引擎白名单(判断引擎方式不严) 2.IP段白名单绕过 3.目录白名单绕过 4…
转自:http://fuck.0day5.com/archives/622.html 一.各种编码绕过1. ? 1 2 ?id=1 union select pass from admin limit 1 ?id=1%20%75%6e%69%6f%6e%20%73%65%6c%65%63%74%20%70%61%73%73%20%66%72%6f%6d%20%61%64%6d%69%6e%20%6c%69%6d%69%74%20%31 2.encoding编码‘e’ => ‘%u0065′, /…
0x01 前言 目前市场上的WAF主要有以下几类 1. 以安全狗为代表的基于软件WAF 2. 百度加速乐.安全宝等部署在云端的WAF 3. 硬件WAF WAF的检测主要有三个阶段,我画了一张图进行说明 本文主要总结的就是针对上面的三个阶段的绕过策略.小菜一枚,欢迎拍砖. 0x02 WAF身份认证阶段的绕过 WAF是有一个白名单的,在白名单内的客户请求将不做检测 (1)伪造搜索引擎 早些版本的安全狗是有这个漏洞的,就是把User-Agent修改为搜索引擎,便可以绕过,进行sql注入等攻击,论坛bl…
WAF:有硬件和软件类型. 常见的软WAF,常见:安全狗.云锁.云盾.护卫神. SQL注入的绕过:  WAF核心机制就是正则匹配. 通过正则匹配,如果符合规则,就拦截. 比如sql注入中and 1=1被拦截. 可尝试大小写绕过:And 1=1 编码绕过:  因为WAF 获取数据后不会解码.如&=>%26 通过不同进制绕过:例如16进制的0x32相当于十进制的2. 铭记:安全和用户体验都是需要平衡的,特别是针对WAF而言.   WAF判断的几种方法: 1.SQLmap 使用SQLmap中自带的…
  绕过waf分类: 白盒绕过: 针对代码审计,有的waf采用代码的方式,编写过滤函数,如下blacklist()函数所示: 1 ........ 2 3 $id=$_GET['id']; 4 5 $id=blacklist($id); 6 7 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 8 9 $result=mysql_query($sql); 10 11 $row=mysql_fetch_array($result);…
知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 本文小结 0x6 参考资料 0x0 前言 促使本文产生最初的动机是前些天在做测试时一些攻击向量被WAF挡掉了,而且遇到异常输入直接发生重定向.之前对WAF并不太了解,因此趁此机会科普一下并查阅了一些绕过WAF的方法.网上关于绕过WAF有诸多文章,但是观察之后会发现大体上绕过WAF的方法就那八.九种,…
HTTP Parameter Pollution简称HPP,所以有的人也称之为“HPP参数污染”. 一篇很不错关于HPP参数污染的文章:http://www.paigu.com/a/33478/23535461.html 如文章中所言,HPP并非一个漏洞,但是网站存在SQL或者XSS,在有WAF的情况之下可以帮助黑客进行绕过WAF. 那么什么是HPP参数污染呢? 假设这个URL:http://www.xxxx.com/search.php?id=110&id=911 百度会理解成让百度搜索:11…