如何绕过waf的防护 渗透测试篇



      渗透测试的第二天,精神养足了,思路也有了那就运用sql注入查寻别的用户数据信息,cmf

架构的客户构造不象一般的架构那般分为用户表和管理方法客户表,它的管理人员和用户都会

同一个表中。表格中的客户用一个字段名去区别不一样人物角色,那样尽管获得不到表名,但

我只查客户表就可以获得管理人员信息内容。查寻以后发觉总体目标系统软件只有一个管理人

员(人物角色字段名数值1,其他客户全是2),密码是hash放盐数据加密的,thinkcmf的加密

算法cmd5里沒有,只有自身跑彩虹表。
 
 
 
跑了800万个弱口令和社会工作者登陆密码以后没解出来,别的较为靠前的检测客户倒是解出

来一大堆。这时候的状况是,【空有一个一般管理权限的注入点】,不清楚别的表名只有查客

户表,管理人员客户登陆密码hash忘记了,解除了也不起作用后台管理详细地址现阶段还没找

到。渗透深陷了困局,因此我刚开始搜集信息内容,搜集来到总体目标的此外2个站——A站和

B站(非二次元)。【首先看A站】阿里服务器器,真正ip,沒有cdn都没有waf,宝塔面板,

dedecms,开过22和3306端口号,后台管理详细地址admin,登录名admin,网络服务器登录

名root\mysql\www(ssh登录名枚举类型系统漏洞)。刚开始检测:工程爆破、注入、扫文件

目录、织梦cms己知系统漏洞这些一顿操作以后,没搞进去,舍弃。
 
 
【再看B站】,有cdn,ecshop,申请注册帐户后登录,刚开始检测:前台sql注入、头像图片

提交、留言板留言xss、竖直滥用权限这些,也没有。不急,一个/admin见到后台管理,顺手

一个123456……,没进来。可是发觉沒有短信验证码,挂上burptop10000走一走,弱口令取

得成功登陆。进后台管理找了好多个提交点,统统是后缀名授权管理,沒有包括和分析系统

漏洞。可是意外惊喜的发觉后台管理有【sql查询作用】(立即运作sql语句)和【数据库测试

印射】。刚开始检测sql查询作用,输好sql语句按回车键,了解的waf网页页面又弹了出去…

…再次试着绕开,昨日的注入点是get型,这儿是post型,waf的过虑标准相对一些转变。实

际哪些标准也没有纪录,由于最终我是用:【post传参不限定长短,传送一百个主要参数以

后,第101个主要参数waf不容易开展检验】这一方式 去绕开的。前边加一百个废弃物主要

参数,以后的主要参数压根无需加一切搞混,称得上肆无忌惮。
 
 
 
 
从头开始sql查询,用户权限root,限定了文档读写能力文件目录,列库名,出现意外的发

觉商城系统和app居然是旁站。如今我不但能够 查寻,还能够删改改app的数据信息,并

且表位居名也都能查来到。接下去试着用数据库测试印射找寻真正ip:由于waf是cdn附加

的,了解真正ip等于使waf无效,若3306对外开放还能够立即连接数据库查询,因此 真正

ip还是很有使用价值的。今天的收获结果(用户信息收集,资产信息收集,旁站sql查询

功能绕过waf操作数据库)。好了先到这,晚上休息休息想想如何拿到权限,明天再战。
分享: