专栏名称: 希潭实验室
ABC_123,2008年入行网络安全,某部委网络安保工作优秀个人,某市局特聘网络安全专家,某高校外聘讲师,希潭实验室创始人。Struts2检测工具及Weblogic T3/IIOP反序列化工具原创作者,擅长红队攻防,代码审计,内网渗透。
今天看啥  ›  专栏  ›  希潭实验室

第97篇:对绕过2层waf的sql注入攻击语句的深入分析

希潭实验室  · 公众号  ·  · 2024-06-30 11:20

文章预览

 Part1 前言  大家好,我是ABC_123 。最近几天的攻防演习蓝队分析中,同事发来一个绕过两层waf串联的sql注入语句,是一个通过折半法猜解数据的盲注,全程设备没有任何告警。我已经好久没见过sql语句在高防护情况下无任何告警的案例了,今天我们就着重分析一下这个语句。 注: 分析这个数据包,需要基础知识的积累,还要有搭建各种测试环境的习惯。早年听一个APT师傅说的,遇到不懂不确定的知识,就要搭建测试环境。 建议大家把公众号“希潭实验室”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。  Part2 技术研究过程  原始sql注入语句 原始的SQL注入攻击语句截图如下,2层串联waf均没有告警。这个SQL注入攻击的语句,第一眼看上去 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览