记一次SQL注入Bypass过程

原创： h0x 合天智汇

前言

某日突然对肥宅的生活感到了厌倦，竟连肥宅快乐水喝起来也索然无味，我需要改变！想起胖友几天前发的一个灰色性质网站，正好测试一下打发时间。直入主题，通过访问网站发现需要输入密码，地址栏有传递参数，手工测试加引号报错，初步判断存在SQL注入。链接：http://xxxx.com/login.php?id=1

发现Get传入id参数，直接加引号

如上报错，且显示了资料库查询语句，select* from catconfig where id=1。一般来说到这里，可以直接扔进Sqlmap跑，我作为一个肥宅主义者-懒，自然选择抄起神器一顿操作，然后便出现如下的画面。

如上，Sqlmap报一大片刺眼的红色光芒让我的眼睛发疼，我知道这不是一个简单的站，「连接被重置」简简单单五个字让人心凉凉，这个站看似漏洞百出，实则暗藏玄机。根据我多年的计算机基础知识判断，这站应该是有WAF，只有WAF才能如此毫不讲道理，如此狠心，甚至没任何提示的就把我IP拉黑了，一般来说waf拉黑IP是有时间限制的，10-40分钟不等，可以设置。于是在等待的时间里，我进行信息收集。正常的测试流程，信息收集应该是最先做的。不过我是个肥宅，不到必不得已，我很可能就忽略不收集了。

信息收集

在被拉黑的这段时间里，我收集了一些基本信息，如下

1、IP：x.x.x.x xx省xx市阿里云2、独立伺服器，无旁站

看到阿里云我突然就明白了，阿里云盾防护，难怪被拉黑了。此处透露一个可能人尽皆知的小技巧，阿里云盾不拦截阿里云自身的伺服器，所以如果用阿里的ECS去跑就不会被拦截。不过我作为一个肥仔，能省一杯快乐水的钱则省一杯，不到必不得已，我不会去开通阿里云的ECS的。过了差不多半个小时，我发现我的访问恢复了，顺带收集一下伺服器环境信息。1、容器：Nginx（访问不存在的目录，404页面）2、系统：Linux（通过大小写判断，Linux对大小写敏感，Windows大小写不区分）3、资料库：Mysql（引号报错）

4、脚本：php（不瞎都看的出来）

在获取上述信息后，进行下一步的测试。

两层防护？

于是又回到原点，我看著这个主页面，页面静静的看著我，貌似在说：来啊，小老弟，怕你不成。此时我想点支烟，但我突然想起没有打火机，再一想，我根本不抽烟啊，于是我喝了一口快乐水，嗝～。手工测试，顺手and1=1，返回

噗，这不是360安全主机吗？除了阿里云盾还有360安全主机？于是开始了疯狂的Fuzz，感觉想用unionselect去查询是很困难的了，测试中发现使用报错注入能成功Bypass。如下：

exp(~(select*from(select%20user())x));--+

构造为：http://xxxx.com/login.php?id=1and exp(~(select*from(select user())x));--+

如上，可以获取当前的资料库用户，附常用的函数，分别进行测试1.version()——MySQL版本2.user()——资料库用户名3.database()——资料库名4.@@datadir——资料库路径5.@@version_compile_os——操作系统版本

此外，在该站点的另外一处注入点处，发现表名cat_members

此处先假定admin用户也存在cat_members表中，根据多年的计算机基础知识，一般列名为username，password。为什么这样，因为懒想碰碰运气。那么我的查询语句应该是：

但是当试图读password数据时

于是进行测试，发现以下规律：

当出现Selectfrom时会进行拦截

于是整个测试重点变成了如何BypassSelect from 语句。

思考尝试

由上，测试主要受阻于拦截了Selectfrom语句，于是我抄起键盘一顿百度加论坛乱搜，找到了大佬们以前的bypass方法。

搜索到的一些Payload1、/*!12345select*//**/from2、/*!50001select*/from

3、Select/**/column_name/**/from

4、/*!/*!select*/column_name/*!/*!from*/5、空格用/*!*/代替6、%53elect/*!1,2,schema_name%0aFROM7、Get+Post，编码，超长内容等等。以上收集来源于土司论坛及百度搜索。但测试发现只要带/**/这样就直接拦截了，所以上述的payload在此处都失效。