• 前言 

今天测试时遇到一个注入点,无奈有安全狗,最后在@追光者老哥的指点下利用成功,把过程记录一下。

 

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

一次利用分块传输绕过waf的经历 随笔 第1张

 

 

  • Analysis

 一个登录框,抓包后简单测试判断存在sql注入:

一次利用分块传输绕过waf的经历 随笔 第2张

一次利用分块传输绕过waf的经历 随笔 第3张

然而继续注入时发现了猫腻~

一次利用分块传输绕过waf的经历 随笔 第4张

  • POC

尝试各种绕过方法,尝试网上的文章无果,这时老哥说尝试一下分块传输,前面看FB的文章就知道个大概,没亲自试过,传个分块传输的bp插件尝试:

一次利用分块传输绕过waf的经历 随笔 第5张

 

 成功的爆出了mysql的版本!一次利用分块传输绕过waf的经历 随笔 第6张

换一个没有长度限制的floor()可以继续注入出相关信息,如用户:

一次利用分块传输绕过waf的经历 随笔 第7张

数据库:

一次利用分块传输绕过waf的经历 随笔 第8张

表:

一次利用分块传输绕过waf的经历 随笔 第9张

手注有点费时,直接上sqlmap,之前知识星球上有人分享sqlmap的分块传输脚本,不过没找到,使用bp做代理:

一次利用分块传输绕过waf的经历 随笔 第10张

 

一次利用分块传输绕过waf的经历 随笔 第11张

使用--technique参数可以节省很多时间。

 

over~

 

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄