上海网站建设开发哪家专业,做网站推广的销售发的朋友圈,网站建设地图怎么设置,wordpress文章怎么打开空格目录 逻辑层1、逻辑问题2、性能问题 白名单方式一#xff1a;IP白名单方式二#xff1a;静态资源方式三#xff1a;url白名单方式四: 爬虫白名单 sqlmap在测试漏洞的时候#xff0c;选择了no#xff0c;它就不会去测试其它的了#xff0c;我们一般选择yes#xff0c;为了… 目录 逻辑层1、逻辑问题2、性能问题 白名单方式一IP白名单方式二静态资源方式三url白名单方式四: 爬虫白名单 sqlmap在测试漏洞的时候选择了no它就不会去测试其它的了我们一般选择yes为了保证正确性。因为我们也不知道它是否就真的就是那个注入点、数据库类型或者就是那个注入类型
在攻防实战中往往需要掌握一些特性比如服务器、数据库、应用层、WAF层等以便我们更灵活地去构造Payload从而可以和各种WAF进行对抗甚至绕过安全防御措施进行漏洞利用
逻辑层
1、逻辑问题
(1)云waf防护一般我们会尝试通过查找站点的真实IP从而绕过CDN防护 (2)当提交GET、POST同时请求时进入POST逻辑而忽略了GET请求的有害参数输入可尝试Bypass (3)HTTP和HTTPS同时开放服务没有做HTTP到HTTPS的强制跳转导致HTTPs有WAF防护HTTP没有防护直接访问HTTP站点绕过防护 (4)特殊符号%00部分waf遇到%00截断只能获取到前面的参数无法获取到后面的有害参数输入从而导致Bypass。比如: id1%00and 12 union select1,2,column_name from information_schema.columns
2、性能问题
猜想1在设计WAF系统时考虑自身性能问题当数据量达到一定层级不检测这部分数据。只要不断的填充数据当数据达到一定数目之后恶意代码就不会被检测了。
猜想2不少WAF是C语言写的而c语言自身没有缓冲区保护机制因此如果WAF在处理测试向量时超出了其缓冲区长度就会引发bug从而实现统过。
例子1: ?id1 and (select 1)(Select0xA1000)UnIoNSeLeCT1,2,version(),4,5,database(),user(), 8,9 ps0xA1000指0xA后面A重复1000次一般来说对应用软件构成缓冲区溢出都需要较大的测试长度这里1000只做参考也许在有些情况下可能不需要这么长也能溢出。
例子2: ?a00a11…a100100id1 union select 1,schema_name,3 from INFORMATTON_SCHEMA.schemata 备注获取请求参数只获取前100个参数第101个参数并没有获取到导致SQL注入绕过。
白名单
方式一IP白名单
从网络层获取的ip这种一般伪造不来如果是获取客户端的IP这样就可能存在伪造IP绕过的情况。 测试方法:修改http的header来bypass waf x-forwarded-for x-remote-IP x-orginating-IP x-remote-addr X-Real-ip
IP白名单在实战中意义不是很大因为它的条件实在是很多很难去满足一个是获取IP是不是通过脚本去获取如果是的话可以去伪造IP通过tcp/udp网络层方式获取的那是没有办法伪造的
方式二静态资源
特定的静态资源后缀请求常见的静态文件(.js .jpg .swf .css等等)类似白名单机制waf为了检测效率不去检测这样一些静态文件名后缀的请求 http://10.9.9.201/sql.php?id1 http://10.9.9.201/sql.php/1.js?id1 备注Aspx/php只识别到前面的.aspx/.php 后面基本不识别
有些WAF过滤是基于脚本过滤的参数是针对脚本去过滤针对某些其它格式就不会去过滤比如图片格式、文本格式因为图片格式、文本格式一般不会带参数或者说图片格式、文本格式造成不了危害只有脚本里面有代码文本和图片的代码是没有什么作用的
http://10.9.9.201/sql.php/x.txt?id1我们这样去访问之后网站并不会受到结果上的影响数据还能够正常接收waf认为注入的参数是建立在x.txt文件上面的所以waf有可能放心这个注入x.txt是一个很正常的文本文件即使传参数也不会造成很大的影响。但是网站这样子访问参数并不是给了x.txt而是给了.php 以前老版本的WAF可以通过这个方式直接绕过但是现在不行了但是我们还是要对这个东西进行了解
方式三url白名单
正常文件涉及到敏感的操作那我们在访问正常文件的时候就会被拦截了这个时候为了让正常的拦截去访问的话它会对这个文件进行白名单设置
为了防止误拦部分waf内置默认的白名单列表如admin/manager/system等管理后台。只要url中存在白名单的字符串就作为白名单不进行检测。常见的url构造姿势 http://10.9.9.201/sql.php/admin.php?id1 http://10.9.9.201/sgl.php?a/manager/b…/etc/passwd http://10.9.9.201/…/…/…/manager/…/sql.asp?id2 waf通过/manage/进行比较只要uri中存在/manage/就作为白名单不进行检测这样我们可以通过/sql.php?a/manage/b…/etc/passwd 绕过防御规则。
可以结合静态资源展开攻击有的waf是不行的但是我们还是要去学一下
方式四: 爬虫白名单
部分waf有提供爬虫白名单的功能识别爬虫的技术一般有两种 1、根据UserAgent 2、通过行为来判断 UserAgent可以很容易欺骗我们可以伪装成爬虫尝试绕过。 User Agent Switcher (Firefox 附加组件)下载地址https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/ 这个方式不是讲注入绕过他是讲扫描绕过这个方式我们经常用到
我们在服务器上创建自己网站之后那么百度、google、搜狗等搜索引擎会对我们的网站页面进行收录在搜索相关资料的时候会请求到我们的网站上来。 爬虫白名单就是伪造搜索引擎当我们对网站部署waf之后我们会发现我们对网站访问速度过快、请求过多的话会拦截
搜索引擎会对我们的网站进行爬取因为它的收录就是对我们的网站采取爬虫技术而且速度很快也是符合拦截规则的但是WAF却不会去拦截因为WAF会去识别你这个是用户访问还是搜索引擎爬取所以我们可以通过数据包的伪造伪造成搜索引擎对目标的网站进行访问这个时候waf肯定会放行因为它觉得这个是搜索引擎的访问是正常的、官方的一种收录行为不会是用户的攻击行为
我们对网站的后台进行目录爆破我们发现爆出了很多结果但是我们去验证的时候发现这些东西压根都不存在全部是误报 这里有两类问题一个是请求速度过快触发了规则一个是扫描结果是个错误 伪造成官方搜索引擎的爬虫去对网站进行扫描就不会触发它的规则因为它是白名单 dirsearch 爆破后台目录的数据包的UA可以使用搜索引擎爬虫的UA
我们学习的是绕过WAF的方法不是学习某个工具方法最重要
/*!50001 select * from test */这里的50001表示假如数据库是5.00.01以上版本该语句才会被推行反之就不行
50001会干扰WAF的识别但是在数据库当中会被正常执行这种绕过方式只针对mysql
%20union%20a11%23%0a%20select%201,2,3%23写与不写all都会执行不会影响任何结果但是all能够绕过匹配规则里面的union select的一个结合 因为中间有个all 总之来说绕过WAF的匹配就是防止他们匹配到我们要学FUZZ的话就需要去学写脚本
我们在实际的工作当中不可能全部用到手工注入肯定是要借助检测工具
sqlmap自带绕过WAF的脚本但是这些脚本肯定是不能够绕过常见WAF的是用来绕过CTF比赛的因为是比赛所以WAF不会写的很死肯定是存在问题的就可以用这些脚本来绕过。
因为用自带的脚本绕不了我们只能自己去编写可以在sqlmap脚本的基础上去改把注释删掉便于查看。 只要在if payload这个地方换就可以了把符合WAF匹配规则的给替换掉例如
if payload:payload payload.replace(union,%23a%oaunion)payload payload.replace(select,/*!44575select*/)payload payload.replace(%20,%23a%0a)payload payload.replace( ,%23a%0a)payload payload.replace( database(),database%23a%0a())
return payload我们所有的步骤都做对了但是我们就是被拦截了这个时候我们可以通过代理把完整的数据包抓到BP上面去看一下看一下数据包里面是不是有问题
WAF可以通过数据包的指纹发现我们使用了sqlmap这个工具在搞事情所以被拦截了不是因为我们的绕过脚本没搞好才被拦截的
当我们在使用工具进行检测的时候我们首先要解决一个问题那就是工具会不会被拦截的问题。因为每个作者在写工具的时候都有一个初衷他在对网站进行扫描会有一个数据包体系这个数据包肯定会有他的特征比如特定的指纹头其实就是我们常说的指纹库通过这个指纹库我们可以识别出他使用的工具不同的浏览器对网站进行访问是不一样的因为他们的内核不同所以他可以通过这些判断出你是人为的还是工具扫描的从而进行拦截
sqlmap的访问量会触发WAF的CC流量拦截这个时候就跟我们的注入没有关系了我们可以采取延迟、代理池爬虫白名单三种方式绕过
搜索引擎爬虫 http 指纹头——》获取搜索引擎爬虫 http 指纹头——》sqlmap user-agent注入——》更改sqlmap的请求头用来绕过WAF或者使用–user-agent来自定义 随机是模拟用户的访问我们可以通过–user-agent来模拟搜索引擎的访问 sqlmap只要是一直在跑那他就是正常的只要一旦停下来那就遇到问题了 我们可以通过刷新网站来判断我们是否被封堵
delay延迟按照我们延迟的时间隔一段时间发送一个数据包。正常访问网站的时候就会速度过快导致被封堵隔一秒发一个。
代理池涉及到的东西比较复杂我们现在也讲不到代理池就是随机刷IP我们需要学完python的安全开发然后再去写一个或者我们用网上现成的工具和脚本改一下结合sqlmap去跑一下。
只要涉及到流量检测基本上就会用到代理池。
我们要去学开发我们要去学Python因为python简单容易上手工具大都是python开发的我们可以直接拿别人的工具二次开发也可以直接用Python写二次开发现在的安全形式如果你不懂代码那是不行的
中转脚本本地写个脚本请求远程地址数据包可以自定义编写)这个脚本去请求远程注入地址sqlmap去注入本地的脚本地址
?php
$urlhttp://xxxx/job_bystjb/yjs_byszjs.asp?id;
$payloadbase64_encode($_GET[x]);
echo $payload;
$urs$ur1.$payload;
file_get _contents($urls);
echo $urls;
?php发送http请求的几种方法
https://blog.csdn.net/qq_34827048/article/details/78892700绕过waf不是单纯的除了技术上的还可能是因为检测工具的原因出了问题要去抓包看看不要一直在代码上面找问题分析是很重要的那些绕过的方法网上去找资料多试几遍用fuzz就完了。
