安全矩阵

 找回密码
 立即注册
搜索
查看: 4477|回复: 0

记一次绕过安某狗的渗透

[复制链接]

114

主题

158

帖子

640

积分

高级会员

Rank: 4

积分
640
发表于 2020-8-19 21:34:48 | 显示全部楼层 |阅读模式
记一次绕过安某狗的渗透

原创 pureqh
来自于公众号:T00ls
原文链接:https://mp.weixin.qq.com/s?__biz=MjM5MDkwNjA2Nw==&mid=2650375163&idx=1&sn=8e23b28c820050dc07f9caa650d14c03&chksm=beb0804789c70951dceda2c384d7b4bf84ae6d039f2599b1cc2ee32b4a0a9ba1620bfb589e42&mpshare=1&scene=23&srcid=0817hHPrPdb5rzh1BeHgWnmH&sharer_sharetime=1597674059852&sharer_shareid=ff83fe2fe7db7fcd8a1fcbc183d841c4#rd


0x01:前言
偶然得到一个站,记录一下渗透过程

0x02:信息收集
正常显示页面,这里我们可以得到的信息有:
1、网站是php的,显而易见。
2、web服务器为IIS7.5,平台为windows,如下。




随便输入fuzz一下,加个单引号
报错了,而且还将单引号转义了,可能存在注入


继续测试注入类型:

payload:' and 'a' = 'a




熟悉的界面

那么现在我们可以确认的是:
1、单引号被转义了,经过测试后双引号和反斜杠也被转义了,但是空格未被转义,猜测后端代码使用了 mysql_real_escape_string() 函数对id参数进行过滤
2、网站使用了安全狗,版本尚未明确


0x03:绕过安全狗
安全狗对于关键字过滤的十分严格,大小写、双写、符号都无法绕过





那继续尝试内联包裹关键字绕过


很不幸也被ban了

想到以前大佬有50001这种操作,那继续payload:order/*!50001*/by/*!50001*/ 16


很不幸又被ban了,看来安全狗版本挺新的。
参考内联50001的原理,我们可以使用其他字符对其进行扰乱。
比如/*!80000aaa*/



成功绕过了安全狗


0x04:注入
接下来查询列数:



遍历可回显位置



可见 3和7是可回显的位置
查看当前用户,当前数据库:




继续注入所有数据库名
很高兴的是安全狗只waf掉了select 所以我也不用打那么多的 /*!80000aaa*/


既然只有两个数据库那就好说了

接下来梭哈即可
查表

[img=15,15]data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEA
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 06:40 , Processed in 0.012789 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表