利用XSS绕过WAF进行SQL注入

0×00 前言

看到标题,很多人肯定会一脸懵逼,这是什么鬼。利用xss绕过waf进行sql注入?话说,没点意思的文章,我自己也不好意思写出来啊。

通俗讲,就是XSS和sql注入相结合绕过waf。知识要能灵活运用嘛。做一个灵活的胖子(虽然我不是胖子)。

0×01 起因

咳咳,还是来说下起因吧!最近遇到一个网站,有防火墙,而且极其变态。后来测试发现,竟然是oracle数据库。对,你没看错,是oracle数据库。

众所周知,mysql语句最松散,曾几何时依靠/*!50000select*/ 这种类型和各种变形,可以秒杀很多防火墙,而且网上大量这样的文章:

mssql语句次之,可以使用多行执行。还可以搭配服务器使用 se%le%ct 这种绕过方式绕过。

相比起oracle,简直了。这些招式都不管用。看了很多文章,看不到多少关于oracle注入的文章。绕防火墙的文章更是稀少。绕过变态的防火墙的基本没有。这一次就遇到了一个比较不错的素材。给大家分享,交流。

0×02 SQL注入初探

废话不多说,实战开始。加入单引号:

http://www.hacker.com/news/index .jsp?id=2862%27

收集信息如下:字符型注入+oracle。常规测试 ‘ and 1=1– +

直接被防火墙拦截了,而且拦截有点变态,连anxd都拦。

既然拦截了anxd,我们推测他应该是过滤的后面1=1 那么我们换成1 like 1试试:

换成and 1 like 1会显示系统错误。在这里,连最基础的正确语句都无法执行。可推测,这个网站至少有两层过滤,一层防火墙,一层代码过滤。我的内心是这样的:

这激起了我好胜之心。越难才越有挑战。另外oracle注入+防火墙,也不是随随便便都能碰到的。

0×03 初生牛犊:尝试突破

那么,就开始突破吧!

思考:如果此处为mysql+php那么绕过也许不会那么难受,但是此处是jsp+oracle。 Oracle各位黑友流传出来的语法基本就那么几种,像/*!50000 这种类型的都不可以用,所以给绕过带来了极大的困难。

考虑到防火墙,一般都采用正则的方式进行拦截的。我们尝试是否有可以替代空格对正则进行绕过,看看waf是否有所疏漏,经过大量测试,发现/*%23%0a*/可进行绕过。我们尝试下:

http://www.hacker.com/news/index .jsp?id=2862′ and/*%23%0a*/1=1–

http://www.hacker.com/news/index .jsp?id=2862′and/*%23%0a*/1=2–

两次返回页面不一样,成功绕过。想到使用联合查询就可以直接获取想要的数据了,仿佛白富美就在眼前。然后当我满怀欣喜准备大杀四方的时候,输入order by 10的时候一脸懵逼:

居然又被防火墙拦截。说明and拦截规则 和 order by 拦截规则又不一样。

前面不知道大家是否记得我说过了,此处防火墙最起码有两层过滤,真是令%

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏琯琯博客

Laravel API 开发推荐阅读清单

社区优秀文章 Laravel 5.5+passport 放弃 dingo 开发 API 实战,让 API 开发更省心 - 自造车轮。 API 文档神器 Swag...

8097
来自专栏java工会

Java程序员新手老手都离不开八大开发工具

现在有很多库、实用工具和程序任Java开发人员选择。每个工具都有其优点,但其中有一些因它的知名度、多功能性和有效性从众多选项中脱颖而出。 以下这8个工具,从代码...

1683
来自专栏黑白安全

利用手机指纹解锁电脑???

前几天偶然看到了一个国外大神开发的手机应用,在手机上装上这款应用之后就可以使用手机的指纹解锁来解锁PC电脑的密码,效果如下图。

2093
来自专栏linux驱动个人学习

Linux各种版本

 1.1   Fedora Core和Fedora     一开始总搞不清楚 Fedora Core和Fedora有什么关系?有什么不同,现在终于明白了,自从F...

6164
来自专栏java工会

Java程序员新手老手都离不开八大开发工具

现在有很多库、实用工具和程序任Java开发人员选择。每个工具都有其优点,但其中有一些因它的知名度、多功能性和有效性从众多选项中脱颖而出。 以下这8个工具,从代码...

2072
来自专栏地方网络工作室的专栏

MAC解压软件推荐——全能解压

MAC解压软件推荐——全能解压 前言 一直以来,我都没有找到MAC上类似于haozip或者360压缩这样的好用的免费的压缩软件。keka这个软件不能预览压缩包内...

44610
来自专栏FreeBuf

中国烧鹅系列:利用烧鹅自动获得反弹SHELL

烧鹅是RadioWar基于Teensy++ 2.0 AT90USB1286芯片设计的USB Rubber Ducky类开发板,外观看起来很像USB Rubber...

36310
来自专栏杨建荣的学习笔记

多套Oracle 10g整合迁移到11g的方案

在数据迁移中,除了跨平台,全量,增量数据迁移之外,还有一类会把已有的难度升级,那就是整合式迁移,比如原来有两个数据,迁移后是一个,类似这样的需求,如果再加...

4083
来自专栏数据和云

深入解析:Row Movement 的原理和性能影响与关联

作者简介: ? 黄玮(Fuyuncat) 资深Oracle DBA,个人网站www.HelloDBA.com,致力于数据库底层技术的研究,其作品获得广大同行...

2853
来自专栏大魏分享(微信公众号:david-share)

DevOps工具链大全 on Openshift

本文作者为陈沙克,原文题目为:OpenShift的DevOps工具链,大魏已获得授权转载。

1K2

扫码关注云+社区

领取腾讯云代金券