伪静态sql注入-Waf绕过

现在只对常读和星标的公众号才展示大图推送，建议大家能把威零安全实验室“设为星标”，否则可能就看不到了啦！

免责声明

本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。

由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失，均由使用者本人承担。威零安全实验室公众号及原文章作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

资产收集

今天换一种思路来讲讲资产收集

通过icp备案号来进行资产收集也是很管用的

例如上图所示可以把icp备案号拿去fofa进行查询，可以看到还有很多资产可以”操作“

漏洞发现

如上述也是找到了这次的“目标”

通过上次发现的伪静态sql注入，在后面每次看到类似的都得试试，生怕错过了一个亿。

随后反手一个单引号报错，直接报错sql语句，数据库类型都告诉了。

漏洞复现

尝试and是否过滤，发现and没有被过滤

再直接尝试一下报错注入，发现普通的报错语句被waf拦截了。

好好好，阿里云盾是吧，开绕

经过不断尝试闭合以及其他数据库内置函数，发现%23(#号)、空格没有过滤，并且id是数字型，闭合是  括号

)

id/50)%23.html

页面恢复正常（这个特征太明显了就厚码了，见谅！）

最后使用mysql内置函数polygon函数

，发现没有被过滤，能够根据字段名爆出表名和列名。

/id/50)%20and%20polygon(id)%23.html

该函数也属于报错函数的一种，它是一个几何函数，由于不能正常解析导致报错，和别的报错函数原理类似，函数具体使用方法及介绍可以参考百度。链接放这里了自查：【https://www.yingsoo.com/news/database/71863.html】

至此，结束，都看到这里了不给个👍？

修复建议

该漏洞已被修复，各位帅师傅手下留情。

每日祝福

祝师傅们，天天高危、日日0day！！！！！！！！！！！！！！！

PY交易

为了方便师傅们交流学习，我特意创建了一个群聊。内部会分享一些脱敏的漏洞报告,渗透测试实战案例，更有若干大牛巨佬分享经验。后续还会提供一些福利包括送书，小礼物等等，欢迎各位师傅进群交流

由于“威零安全交流群”群聊人数已满200人，扫码进不了的师傅可以添加机器人secbot回复“威零科技”即可加入群聊