记一次SQLserver bypass 安全狗注入

温馨提示

本文章仅供学习交流使用，文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

前言：

马上开学了，一直在准备开学的东西，但是还是不能阻止我挖洞的心情。

由于我同学正在紧张的填报志愿，我也只好随便在网上冲浪，找到了一个edusrc站点

正文：

目标站点 :http://.xxx.com

先进行常规的信息扫描：祭出神站 https://scan.top15.cn/web/ 这个网站可以查询到网站的IP、指纹、中间件、操作系统等基础信息

还有端口扫描 信息泄露 旁站等等 非常齐全 配合插件 Wappalyzer 和FOFA Pro view 可以进行快速的信息收集

由于是对edusrc进行测试 我们直接看相对应的网站

这里我一般会先对一些 登录，注册，搜索 交互功能比较多的地方先进行测试

这里我们想要进一步操作必须要登录智慧校园 一般这种地方都很少有突破点，简单进行测试一番发现没什么可利用的，看到搜索框习惯性的输入’来判断是否存在注入

嗷吆，这么熟悉的界面，中奖了 本想sqlmap一把梭 但现实给了我一满天的红XX

唉，直接被狗了

解封之后只能手工了

进行简单的注释

直接400 猜想可能是过滤了空格 于是用+代替

常规测试直接rest

不用想肯定被狗拦截了（突然就把我的ip搬了害我等了半天）

%1e在mssql中为空白符，使用%1e代替空格可以绕过部分waf检测

利用mssql的特性 %1e替换进行绕过

成功绕过，查看到了当前版本，在进行构造查看当前数据库

nm...又被拦截了 先测试拦截的是那个敏感字符 经过一番测试 括号被拦截

这里我还没闭合就被拦截了，闭合试试

淦，估计就是拦截括号了，这里我们用注释符在括号面前注释尝试进行

成功拿到数据库名 接下来读取表名 各种方法尝试过不去 注释 截断 垃圾字符（实在太菜了）

然后通过查找资料发现 可以利用注释+换行 来进行绕过

由于这里edusrc明确规定

我们点到为止 列名和数据用同一手法操作就可以。。然后提交到edusrc就OK

总结：

在进行信息收集+漏洞挖掘的时候，一定要仔细+细心，一定要每个点测试到

遇到问题不要慌，慢慢尝试总会有新的发现

最重要的一点 点到为止！！！

福利：

智能终端机在我们的生活之中越来越常见，今天给大家带来的是智能终端机渗透教程 想在朋友面前露一手吗？

速速在公众号后台回复-终端机渗透，获取教程叭