关注我们

利用XSS绕过WAF进行SQL注入

LzersLzers 安全文摘 2018-04-12 307766 0


0×00 前言

看到标题,很多人肯定会一脸懵逼,这是什么鬼。利用xss绕过waf进行sql注入?话说,没点意思的文章,我自己也不好意思写出来啊。

利用XSS绕过WAF进行SQL注入

mssql语句次之,可以使用多行执行。还可以搭配服务器使用 se%le%ct 这种绕过方式绕过。

利用XSS绕过WAF进行SQL注入

收集信息如下:字符型注入+oracle。常规测试 ‘ and 1=1– +

利用XSS绕过WAF进行SQL注入

换成and 1 like 1会显示系统错误。在这里,连最基础的正确语句都无法执行。可推测,这个网站至少有两层过滤,一层防火墙,一层代码过滤。我的内心是这样的:

利用XSS绕过WAF进行SQL注入

http://www.hacker.com/news/index .jsp?id=2862′and/*%23%0a*/1=2–

利用XSS绕过WAF进行SQL注入

居然又被防火墙拦截。说明and拦截规则 和 order by 拦截规则又不一样。

前面不知道大家是否记得我说过了,此处防火墙最起码有两层过滤,真是令%


版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢0评论已闭