WEB安全

最新过安全狗注入

字号+ 作者:sec_tony 来源:转载 2016-11-24 20:45 我要评论( )

0x1 序: 前几天在某论坛上看见接地气发了一个HPP参数污染绕过XX狗的帖子,然后感觉方法很好,一直想测试一下,今天终于有了时间测试一下是否还过狗! 0x2 测试: ......

0x1 序:
前几天在某论坛上看见接地气发了一个HPP参数污染绕过XX狗的帖子,然后感觉方法很好,一直想测试一下,今天终于有了时间测试一下是否还过狗!
 
0x2 测试:
  • 测试环境:
    • WEB容器:IIS6.0(win_2003)
    • 脚本语言:ASP
    • 安全狗版本:最新版
       

测试:

这 里引用接地气的总结:XX狗对GET提交参数的拦截底线是union select,也就是说union select会被拦截;而对于POST提交参数的拦截底线是union select 1,2,..from,只要union select from同时出现则拦截
HPP参数污染就是在接收多次相同的参数的时候,不同的web容器的处理方式不同:有的两个参数同时接收,有的只接收前一个参数,有的只接收后一个参数。
比如:ASP/IIS环境下:
如果访问http://127.0.0.1/index.php?id=1&id=2的话传递过去的id=1,2
于是就测试:
发现一个问题,空格被过滤了,那用%20替换空格呢:
OK,显示正常了(ps:大牛们别笑话我,在过狗方面我研究的真的不多)
用HPP参数污染:
  • XX狗跳出来了..也罢,毕竟7月30号发的嘛...本来打算放弃了,又想起以前输给接地气的那个赌(1个月之内研究出过狗注入方法),那时候贪玩,没做,现在挑战一下自己吧...哪怕用1年时间,也要研究出来。
0x3 自行研究
  • 查找资料什么能够替代from:
    百度了一番,没有什么结果
  • 看看前辈都怎么过狗的:
    • 最初的方法:在关键词中加%来绕过安全狗的防护
    • 接地气曾经发过一个用宽字节方法过狗的
    • beihai表哥发过一些代替空格的符号:
       
    /*|--|*/
    /*@--|*/
    /*?--|/
    /*|%20--%20|*/
    PS:我在想这些符号过狗的原理是什么?难道说是:unionxxxselect...xxxfrom这样安全狗就匹配不到union select而执行的时候xxx仍然被当作空格执行?

是这个理由绕过XX狗的。
关闭XX狗测试语句是否能正常执行:
发现语句不能正常执行了,其实这个和搭建环境有关,我的环境是IIS的。
总结思路:
大多都是用一些符号来让安全狗的正则匹配不到,来达到过安全狗的目的,试试参数污染+替换空格+%扰乱呢:
失败...
这时候突然想起来:刚才传递参数的时候不是发现安全狗过滤空格么?那用空格截断关键字呢(就像asaspp一样过滤asp以后就变成了asp)
绕过了,但是替换空格的符号导致语句执行错误..去掉以后:


突然想法:既然参数污染的方法已经不能够过安全狗了,那不用参数污染,只用空格截断呢?

的确可以绕过安全狗
继续深入:

111216_1027_12.png (98.62 KB, 下载次数: 0)

下载附件  保存到相册

6 天前 上传


过狗完成

本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Web/237.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 移位溢注:告别依靠人品的偏移注入

    移位溢注:告别依靠人品的偏移注入

    2017-03-09 14:12

  • 2017绕过最新安全狗上传

    2017绕过最新安全狗上传

    2017-03-07 09:33

  • Struts2 最新漏洞S037分析!

    Struts2 最新漏洞S037分析!

    2016-12-28 09:43

  • ZABBIX SQL注入

    ZABBIX SQL注入

    2016-12-24 14:47

网友点评
暂时未开启评论功能~