从偶然的机会发现一个mysql特性到wooyun waf绕过题
从偶然的机会发现一个mysql特性到wooyun waf绕过题
MayIKissYou | 2015-06-19 12:00
最近在测试的时候,偶然的机会发现了一个mysql的特性,
为啥是偶然的机会呢。。。。。
一次测试的过程中我在mysql的console下做了如下的操作:
看出些什么了么?
我当时发现报错的时候例如-+{等符号 报错的时候提示的是''(双引号里没东西),但是如select后面添加1 a等内容的时候报的是
selecta,select1等等。
想到共性了么,-+{等等内容是能够直接添加到select后面的,知其那那个sql总结的帖子里有,
例如
select-1;
select+1;
select{x 1};
而select后面直接跟1 a的时候就不可以直接报错了。
再回过头去看那张图的时候发现select后面直接跟.的时候尽然也是提示的'',此时就开始怀疑select后面也应该是能够直接跟.号的。
因此我们现在确定了select.的形式,此时想要做的是怎么闭合这个语句,使得该语句能够正常的执行。
又开始手工能够测试:
测试了多少payload,我也不记得了,最后当输入以下内容的时候,让我小happy了一下:
竟然提示的是
Unknown table '1' in field list
然后我就做了如下的操作:
看到没竟然成功了使用的语句是:
select.``.schema_name from information_schema.schemata;
ps.我只能说运气不错。
就这样证明了select后面直接跟.也是可以的。
---------------------------------------------------------华丽的分割线----------------------------
wooyun waf绕过
这是痛苦的经历,测试的过程中感觉到和往常的waf有点不同,感觉每当我拼凑出来的bypass语句能够执行的时候就出现了bad hacker。
由于我是大晚上12点开始弄得,发现已经有答案了,测试了1个多小时没有结果之后就去看了下write up。
我擦勒竟然完全和自己的做法不在同一频道,完全没想到这位牛使用的方法。
整理下思路吧
1:输入'报错了,一个like的查询语句,试试了初步判断里面没有内容,然后没有回显,而sql报错的时候不是mysql自己的报错,基本不能使用union,和报错注入,考虑时间盲注了。
ps.自己之前一直在和那个union的过滤较劲,关键是没摸出到底是啥规则,好吧今天来的时候小v说不是基于规则的,我擦勒有点累蹦。
2:由于基于时间盲住了因此就会有类似这样的模式:
if(你这样,睡几秒,不睡)
貌似and这种玩意都不能用,于是就直接使用运算符号吧:
http://rile.gou.gg/search?query=1%27>(select[])
在这里的时候输入各种玩意都返回报错,后来试了下select.貌似成功了。
感觉应该有戏了,反反复复拼凑下得到了如下的payload,哈哈这里我偷懒没有去自己爆数据了直接拿了那位大牛爆出的表名,最终的payload
http://rile.gou.gg/search?query=1%27>(select.``.schema_name from (select.``.schema_name,if(ascii(mid((select * from test.flag),1,1))=102,(benchmark(5000000,sha(1))),1) from information_schema.schemata)x)%23
用lijiejie的脚本改一下,然后直接报flag:
结果少了几位 没爆出来,延时不稳定没= =
ps.好吧 被恶心到了 现在已经困如*了
转载于:https://www.cnblogs.com/qing123/p/4629095.html
从偶然的机会发现一个mysql特性到wooyun waf绕过题相关推荐
- windows2008r2补丁_我偶然发现一个严重 0day,影响 Win7 和 Server 2008 R2,微软未发补丁(详情)...
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 法国安全研究员 Clément Labro在更新一款 Windows 安全工具时,偶然发现一个影响 Windows 7 和 Windo ...
- 发现一个厉害的关于html ui的网站 http://amazeui.org以后可能会用机会用!
发现一个厉害的关于html ui的网站 http://amazeui.org以后可能会用机会用! sso beautiful! 转载于:https://www.cnblogs.com/Small-L ...
- 偶然发现一个大佬写的 React 脚手架,叫Moderate, 用起来很方便
发现一个大佬写的 React 脚手架,叫Moderate, 用起来很方便 Moderate,意思为适中的,适度的,用这个作为代号,主要取决于他的本名"中用",其一以贯之的想法就是中 ...
- 发现一个好用的MySQL数据库管理工具
免费在线MySQL数据库管理工具 平台地址: http://open.yesapi.cn/ 一.管理自己的MySQL数据库 如果自己已经有一个MySQL数据库,那么可以直接配置到小白开放平台,就可以实 ...
- 一篇非常有用的文章-《台湾清华彭明辉教授的研究生手册》如何发现一个研究课题?
一.研究生期间要学什么? 我认为研究生期间学生应该学三件事情: 1)建立合理的知识结构:尽量广地涉猎学科基本知识,尽量深地了解所研究领域的方方面面过去和现在. 2)掌握独立研究的方法和技能:尽量多的学 ...
- python跟php如何共用mysql_Python 3 多个函数共用一个mysql连接
1.本人刚接触Python,环境用的是Python3,使用pymysql模块连接数据库.为了节省资源,我是打算在一个python脚本中的各个函数里共用一个mysql连接, 2.代码如下所示: # co ...
- 我发现一个新的软件,用自然语言编程!非常酷!
周六晚上10点半, 张大胖兴冲冲地在微信上找我:"欣哥,我发现一个编程软件,非常酷!" 我:"别烦我!我忙着追剧呢." "真的非常酷,这个软件叫Met ...
- 性能是.NET Core的一个关键特性
关键要点 .NET Core是跨平台的,可运行在Windows.Linux.Mac OS X和更多平台上:与.NET相比,发布周期要短得多.大多数.NET Core 都是通过NuGet软件包交付的,可 ...
- mysql for update场景_一个mysql死锁场景实例分析
前言 最近遇到一个mysql在RR级别下的死锁问题,感觉有点意思,研究了一下,做个记录. 涉及知识点:共享锁.排他锁.意向锁.间隙锁.插入意向锁.锁等待队列 场景 隔离级别:Repeatable-Re ...
最新文章
- 把myeclipse中的web项目导入eclipse中不能编程web项目的解决办法
- Master Data makes SAP Retail special
- Linux/Centos下/lib64/libc.so.6: version `GLIBC_2.14' not found问题
- 信息系统项目管理师-项目合同管理核心知识点思维脑图
- 一个备份sql server文件.bak还原成两个数据库
- realme X7 Pro至尊版确认:最便宜的曲面屏手机
- 一步一步学习Servlet之Session使用
- 浏览器本地存储(cookie、sessionStorage和localStorage)
- 粤教版小学认识计算机教案,粤教版八年级信息技术下册教案:第一章第一节初识计算机程序oc.pdf...
- k8s使用kube-router网络插件并监控流量状态 1
- oracle存档模式,Oracle学习系列之如何开启归档模式
- 实时广播星历和精密星历下载
- redis集群工具redis-trib制作并打包上传到私有Harbor
- 全景图如何上传至百度地图?
- 格式工厂 wav 比特率_这可能是 Mac 上最强格式转换工具
- 有关微信小程序云数据库修改数据的坑
- ajax获取qq音乐源码,jsonp的运用(获取qq音乐首页数据)以及用Promise的封装
- 使用调试钩子屏蔽全局钩子
- 自制的万年历收音机功能完工。
- 2021无人配送三大场景之争
热门文章
- (转载)解决eclipse安装maven的问题:Unable to update index for central|http://repo1.maven.org/maven2...
- document.body.scrollTop用法
- Citrix XenApp6.5的安装
- 基于tcp的网络程序_【CVPR 2020 Tutorial】基于神经网络的符号化视觉推理和程序合成(2)...
- pda连接电脑无法存取文件_手机无法连接电脑怎办
- python线程暂停_在python中暂停一个线程和另一个线程
- ip68级防水可以泡多久_ip68级防水手机有哪些
- Oracle 备份与还原
- java 访问网络驱动器_尝试通过GitLab Runner脚本访问网络驱动器但收到错误
- 语言身高预测实验注意事项_?新预训练模型CodeBERT出世,编程语言和自然语言都不在话下...