电话
400-888-8888
云锁是中国用户总量领先的主机安全产品,在国际上率先达到Gartner定义的cwpp(云工作负载保护平台)标准,兼容多种虚拟化架构和操作系统cbin99仲博注册登录地址,可以高效支撑现代混合数据中心架构下的主机安全需求。云锁基于服务器端轻量级agent,安全加固服务器操作系统及应用,云锁waf探针、rasp探针、内核加固探针能有效检测与抵御已知、未知恶意代码和黑客攻击;同时云锁融合资产管理、微隔离、攻击溯源、自动化运维、基线检查等强大功能,帮助用户高效安全运维服务器。
CentOS8.2.2004, 云锁waf,云锁pc客户端,sqli-labs, upload-labs,宝塔
云锁waf安装命令:
云锁PC客户端
防护模式选择最高级别,在URL上检测所有规则
利用宝塔建站,将sqli-labs和upload-labs搭建在服务器上
%23、--+、;%00均可使用
函数被ban了,单个使用不检测,联合起来检测
虽然order by被ban了,但是幸运的是group by没有被ban,还是可以通过group by来获取字段数。
综上可以看出,有三个字段。
不出所料的也被ban了,同样也是单个使用不会被ban,同时使用时被ban
并且 和 同时出现时也会被ban
同时出现时也会被拦截
通过测试发现并没有比较好的方法绕过union select
sleep()函数没有被ban,可以尝试盲注
其中和均被拦截
可以使用
和 也可以使用
但是select from等均会被拦截,报错注入也不是很好绕过WAF。
、均被ban了,没有被ban
尝试内联注释绕过,不过/*!*/被ban了
/**/虽然没被ban,但是不会解析
/**/放在其他地方时,又会因为 和 而被拦截
虽然and、or、xor被ban了,但是可以用&&、 代替
&&没法直接绕过and,和url传递多参数会有冲突,但是url编码一下就可以了
此时证明存在注入漏洞
尝试利用函数
示例:返回值为ab
之后将他与字符串进行比较 例如 返回结果为false 因为 ‘a’=‘a’
同样的返回结果为TURE 因为‘ab’是要大于‘aa’
根据返回的结果的真假与前面的语句用and相连接构造逻辑关系
即后面结果为真,页面就正常回显。若后面的语句为假,则页面回显异常
当去掉❊c鶍引号时,会报不存在abc字段的错误,可知我们可以输入一个字段名来进行left的操作
通过爆破可以爆出字段名username和password。这里爆破可以用sqlmap自带的column字典,很好用,当然也可以自定义字典。
爆破脚本:
得到结果:
尝试username,成功
如果利用 就能得到第一个开头为a的表username内的字段值
但是实际环境中,可能存在着不止一个以a开头的用户,比如当我们使用来判断时,就会获得如下结果
在实际环境中,正常情况下肯定都不会直接回显字段值,此时我们就需要盲注爆破了。可以先判断长度,比如:
固定长度为6时,并且字段值开头第一个字母为s,就会成功访问。
当设置长度为7时,没有长度为7且第一个字母为s的字段值,就不会回显
当长度为8时,又存在新的数据,这时就会成功回显。
此时,我们就可以利用这种方法来进行爆破了。
爆破username:
可以得到如下结果:
爆破password:
结果如下:
注:
目前脚本存在两个问题,第一个是大小写不敏感,导致用户和密码如果存在大小写会有问题。第二个是同长度同首字母的不同用户,只能识别第一个,如果想要识别多个会大大提高所花费的时间,有空再改改。
大概可以通过二分法来做,然后用ord(name)>64来判断是否存在。