0x01 前言

  之前发了一篇博客《Bypass D盾_IIS防火墙SQL注入防御(多姿势)》,D哥第一时间联系我,对问题进行修复。这段时间与D哥聊了挺多关于D盾这款产品的话题,实在是很佩服,对这样一款产品的细致以及投入。一个人,一款产品,一路走来,弥足艰辛。旧版D盾_防火墙支持win2003,新版D盾_防火墙功能更加强大。前阵子已经拿到最新的内测版本,奈何杂事缠身,一直没有深入的对防御规则进行测试,抽空下载了新发布版本对之前发现的问题进行复测,这里记录一下测试过程。

0x02 SQL注入防御

  搭建了一个IIS+ASPX的环境,对一些关键字进行测试,查看拦截情况:

    union  不拦截

    union select  拦截

    select  from  拦截

测试思路:

如何绕过union select?

  在对旧版本测试中,曾使用1eunion来绕过SQL注入防御,新版本D盾对防御规则进行重构,有着本质的区别,抱着怀疑的心态进行尝试,虽然1e的形式已被修复了,通过Fuzz可以发现,使用1.e这种特殊的数值形式,可成功绕过union select防御。

D盾 v2.0.6.42 测试记录-LMLPHP

接下来考虑,如何去绕过select from的防御规则:

绕过姿势:GET+POST

  假设GET/POST/COOKIE同时提交的参数id,服务端接收参数id的顺序是什么样呢?

ASP+IIS: COOKIE会被POST代替,POST会被GET代替,同时提交参数id,最后只会得到GET中的值,如下图:

D盾 v2.0.6.42 测试记录-LMLPHP

ASPX+IIS:同时提交参数id,会接收所有参数,通过逗号分隔,如下图:

D盾 v2.0.6.42 测试记录-LMLPHP

PHP+IIS: GET会被POST替代,POST会被COOKIE替代,最终只会得到COOKIE的值,如下图:

D盾 v2.0.6.42 测试记录-LMLPHP

  从中可以发现,ASPX+IIS同时接收参数的方式比较特别,可以用这个特性来搞事。

  利用这个特性来拆分select from,从而绕过D盾的SQL注入防御规则。

D盾 v2.0.6.42 测试记录-LMLPHP

局限:使用Request.Params["id"]来获取参数, 三种方式可以进行参数传递:(1). Form (2). ?id= (3).cookie 获取到参数拼接起来

这姿势适合场景略局限,仅仅作为Bypass分享一种思路而已。

0x03 关于盲注

  通过盲注去获取一些敏感信息,如version()、user()、database()等。

05-06 02:50