转载：记一次绕过安某狗的渗透

前言

偶然得到一个站，记录一下渗透过程

信息收集

正常显示页面，这里我们可以得到的信息有：

1、网站是php的，显而易见。
2、web服务器为IIS7.5，平台为windows，如下。


随便输入fuzz一下，加个单引号
报错了，而且还将单引号转义了，可能存在注入

继续测试注入类型：

payload：' and 'a' = 'a

熟悉的界面

那么现在我们可以确认的是：

1、单引号被转义了，经过测试后双引号和反斜杠也被转义了，但是空格未被转义，猜测后端代码使用了 mysql_real_escape_string() 函数对id参数进行过滤
2、网站使用了安全狗，版本尚未明确

绕过安全狗

安全狗对于关键字过滤的十分严格，大小写、双写、符号都无法绕过



那继续尝试内联包裹关键字绕过

很不幸也被ban了

想到以前大佬有50001这种操作，那继续

payload：order/*!50001*/by/*!50001*/ 16

很不幸又被ban了，看来安全狗版本挺新的。

参考内联50001的原理，我们可以使用其他字符对其进行扰乱。

比如/*!80000aaa*/

成功绕过了安全狗

注入

接下来查询列数：

遍历可回显位置

可见 3和7是可回显的位置
查看当前用户，当前数据库:


继续注入所有数据库名
很高兴的是安全狗只waf掉了select 所以我也不用打那么多的 /!80000aaa/

既然只有两个数据库那就好说了
接下来梭哈即可
查表

查字段

查数据

md5跑一跑看看能不能出来

不得不说 https://www.somd5.com/ 很给力！