在防火墙(WAF)的日益普及中,传统SQL注入方法对于WAF来说往往不太管用,针对此MSSql也采取了更高级的绕过技术。本文将讲解利用MSSql在WAF下实现注入的一些新突破。
首先,我们可以使用MSSql中常见的类型转换来绕过一些WAF防护,比如将“(CHAR(58)+CHAR(113)+CHAR(112)+CHAR(97)+CHAR(100)+CHAR(105)+CHAR(118))”替换为cast(0x584f504449564156 as varchar(8000))。因为MSSql经常将输入数据作为字符串处理,因此我们可以应用类型转换中的函数重新编码,从而达到绕过WAF的目的。
此外,我们还可以采用SSL多协议绕过WAF。这种方案需要将要查询的参数信息编码成密文,然后在SQL中使用密文代替原始文本,绕过防火墙及其它安全层次。例如:
DECLARE @sql NVARCHAR(MAX)
SET @sql = 'SELECT * FROM users WHERE username = '+ EncryptByKey(KEY_GUID('TKey'), @username);EXEC sp_executesql @sql
这里,我们使用MSSql自带的EncryptByKey函数来对用户名进行加密,最终使其能够绕过WAF过滤。
当然,我们还可以用MSSql构造布尔盲注的例子来说明绕过WAF的一些新方式。在这种情况下,可以使用一个主要的SQL语句将数据库表中的某个字段与布尔表达式进行比较,如果比较成功就会产生true,反之则false。这样,通过将waf返回的数据进行分析,我们就可以确定语句是成功执行了:
SELECT * FROM user where id=(CASE WHEN (select top 1 1 from [table] WHERE username = 'admin') is not null
THEN 1 ELSE 2 END );
以上为使用MSSql实现注入绕过WAF的一些新突破。此外,我们还可以使用MSSql强大的函数帮助绕过WAF,比如BINARY,全文搜索函数等等。希望本文的内容能够帮助大家绕过WAF把握当下的安全性技术。
创作不易,用心坚持,请喝一怀爱心咖啡!继续坚持创作~~
