记一次绕过安某狗的渗透

Xor0ne

记一次绕过安某狗的渗透

原创 pureqh
来自于公众号：T00ls
原文链接：https://mp.weixin.qq.com/s?__biz=MjM5MDkwNjA2Nw==&mid=2650375163&idx=1&sn=8e23b28c820050dc07f9caa650d14c03&chksm=beb0804789c70951dceda2c384d7b4bf84ae6d039f2599b1cc2ee32b4a0a9ba1620bfb589e42&mpshare=1&scene=23&srcid=0817hHPrPdb5rzh1BeHgWnmH&sharer_sharetime=1597674059852&sharer_shareid=ff83fe2fe7db7fcd8a1fcbc183d841c4#rd


0x01：前言
偶然得到一个站，记录一下渗透过程

0x02：信息收集
正常显示页面，这里我们可以得到的信息有：
1、网站是php的，显而易见。
2、web服务器为IIS7.5，平台为windows，如下。

​
​

随便输入fuzz一下，加个单引号
报错了，而且还将单引号转义了，可能存在注入

​
继续测试注入类型：

payload：' and 'a' = 'a

​


熟悉的界面

那么现在我们可以确认的是：
1、单引号被转义了，经过测试后双引号和反斜杠也被转义了，但是空格未被转义，猜测后端代码使用了 mysql_real_escape_string() 函数对id参数进行过滤
2、网站使用了安全狗，版本尚未明确


0x03：绕过安全狗
安全狗对于关键字过滤的十分严格，大小写、双写、符号都无法绕过

​
​
​

那继续尝试内联包裹关键字绕过

​
很不幸也被ban了

想到以前大佬有50001这种操作，那继续payload：order/*!50001*/by/*!50001*/ 16
​

很不幸又被ban了，看来安全狗版本挺新的。
参考内联50001的原理，我们可以使用其他字符对其进行扰乱。
比如/*!80000aaa*/

​

成功绕过了安全狗


0x04：注入
接下来查询列数：

​

遍历可回显位置

​

可见 3和7是可回显的位置
查看当前用户，当前数据库:

​
​

继续注入所有数据库名
很高兴的是安全狗只waf掉了select 所以我也不用打那么多的 /*!80000aaa*/

​
既然只有两个数据库那就好说了

接下来梭哈即可
查表

[img=15,15]data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEA