oracle设置了访问白名单，白名单外ip访问记录

alexand1208 2019-04-23 08:18:43

oracle在SQLNET.ORA设置了访问白名单之后，通过什么方式可以获取到白名单之外的ip访问记录？

我看了监听日志，只有白名单内访问会记录ip，白名单外IP访问是没有记录ip的，请教各位我怎么才能获取到访问的ip？
<msg time='2019-04-23T19:48:27.058+08:00' org_id='oracle' comp_id='tnslsnr'
type='UNKNOWN' level='16' host_id='XINGUANG-PC'
host_addr='fe80::c964:1b5e:4562:9721%2'>
<txt>23-4月 -2019 19:48:27 * service_update * orcl * 0
</txt>
</msg>
<msg time='2019-04-23T19:48:54.062+08:00' org_id='oracle' comp_id='tnslsnr'
type='UNKNOWN' level='16' host_id='XINGUANG-PC'
host_addr='fe80::c964:1b5e:4562:9721%2'>
<txt>23-4月 -2019 19:48:54 * service_update * orcl * 0
</txt>
</msg>
<msg time='2019-04-23T19:50:56.824+08:00' org_id='oracle' comp_id='tnslsnr'
type='UNKNOWN' level='16' host_id='XINGUANG-PC'
host_addr='fe80::c964:1b5e:4562:9721%2'>
<txt>23-4月 -2019 19:50:56 * 12546
</txt>
</msg>
<msg time='2019-04-23T19:51:05.832+08:00' org_id='oracle' comp_id='tnslsnr'
type='UNKNOWN' level='16' host_id='XINGUANG-PC'
host_addr='fe80::c964:1b5e:4562:9721%2'>
<txt>TNS-12546: TNS: 权限被拒绝
TNS-12560: TNS: 协议适配器错误
TNS-00516: 许可被拒绝

</txt>
</msg>

...全文

354 2 打赏收藏转发到动态举报

写回复

2 条回复

切换为时间正序

请发表友善的回复…

发表回复

lhdz_bj 2019-06-05

打赏
举报

回复

这个在监听日志里应该有，只是需要打开日志、设置跟踪级别或sqlnet.ora相关参数。

卖水果的net 2019-04-24

打赏
举报

回复

楼主要从哪里看 IP？从服务器上看，还是想从客户端捕捉一下哪 IP 可以访问？

主要给大家介绍了关于限制ip访问Oracle数据库的方法步骤，文中通过示例代码介绍的非常详细，对大家的学习或者使用Oracle数据库具有一定的参考学习价值，需要的朋友们下面来一起学习学习吧

一、大势至服务器共享文件访问记录软件应用背景当前，在企事业单位内部局域网中，常常在服务器上共享一些重要的文件供局域网用户使用，极大地方便了企业内部资源、信息、文件的交换和使用。但是，由于缺乏对局域网用户访问共享文件的管理和控制，使得员工访问共享文件的各种操作行为，如读取、修改、删除、剪切和重命名等无法有效管理和记录，从而一旦员工私自拷贝和窃取公司的商业机密也无法进行有效的查证和防范，同时如果员工不小心或有意删除共享文件的行为也无法进行有效的预防和保护，从而容易给企业带来巨大风险和重大损失。而如果通过服务器配置不同用户，设定不同权限来限制员工访问共享文件的方式，由于操作极为复杂，在企业员工数量较多的情况下，工作量也极大，从而不利于有效管理共享文件、监控共享文件的使用，也无法有效保护单位的商业机密和信息安全。因此，企事业单位迫切需要一套专门的共享文件监控软件、局域网共享软件来记录局域网用户对共享文件的各种操作，同时有效防止员工有意或不小心删除共享文件而给企业带来的重大损失。二、解决方案鉴于对共享文件进行审计和保护对企事业单位来说具有至关重要的作用，同时国内网络安全厂商没有专门的共享文件审计工具供用户选用。大势至研发团队顺应用户的这一需求，并通过艰苦的研发终于推出了“大势至共享文件审计系统”。“大势至共享文件审计系统”是大势至（北京）软件工程有限公司推出的一款专门监控服务器共享文件、记录局域网用户对共享文件的各种操作的专业安全防护软件。通过大势至共享文件审计系统你可以详细审计局域网电脑访问服务器共享文件的行为，包括新建、拷贝、修改、删除、剪切、重命名等操作，从而便于对员工访问共享文件的行为进行全程的记录和查证，便于网管员进行事后审计和调查取证。同时，通过对共享文件进行保护设置，还可以防止局域网用户有意或不小心删除共享文件的情况，从而有力地保护了单位服务器共享文件的安全，保护了单位商业机密和无形资产。三、功能介绍 1、记录服务器共享文件夹或共享文件的访问情况，包括读取、拷贝、修改、删除、重命名、打印等情况，可以记录访问者采用的登录账户、IP地址、MAC地址、时间、访问时长、具体操作情况等。 2、根据共享文件夹或共享文件来查询局域网电脑访问共享文件的具体操作情况。 3、根据IP或MAC地址来查询局域网主机对那些共享文件做了那些具体操作。 4、根据访问权限来显示对应的共享文件，没有访问权限的共享文件将予以隐藏。 5、对重要共享文件进行实时备份功能，可以在一定条件下进行实时还原。 6、对重要共享文件进行防删除操作，一旦蓄意或误操作删除共享文件可以恢复。 7、通过账户、IP和MAC地址三重绑定来限定客户端的电脑访问共享文件情况，一旦不符合绑定规则，禁止其访问共享文件。 8、限制外来电脑或未经授权的电脑访问共享文件，也即必须加入到许可访问共享文件的白名单电脑才可以访问共享文件。 9、支持在公司外部或外地访问单位局域网共享文件服务器并提供监控功能。 10、访问共享文件的日志情况可以导出为其他格式，如word、excel等，便于第三方审计。 11、集成开放的功能扩展接口，可以与我公司的商用安全计算机、外来电脑控制系统相互配合，强化对共享文件的保护。四、领先优势大势至共享文件审计系统与国内同类系统相比，主要优势如下： 1、大势至共享文件审计系统还可以与大势至商用安全计算机进行整合，从而有效地防止了通过访问共享文件服务器的USB接口，使用U盘、移动硬盘、蓝牙、手机等外接存储设备来复制、拷贝共享文件的行为。 2、大势至共享文件审计系统同时支持Linux操作系统和Windows操作系统，从而具有更好的适应性，满足各个系统平台用户的监控共享文件的需求。 3、大势至共享文件审计系统支持主流的各种数据库，如ACCESS、MySql、SQL、DB2、Oracle数据库等，从而可以充分利用客户服务器的数据库模块，避免了客户购买新的数据库或安装操作特定数据库。 4、大势至共享文件审计系统只需要安装在提供共享文件的服务器上即可监控局域网内所有用户访问服务器文件的各种操作，不需要在客户端安装，不需要调整现有的网络结构，也不需要额外其他设备，从而一方面极大地节省了部署服务器共享文件监控系统的复杂性和工作量，又大幅度节省了购买其他硬件的投资支出。 5、大势至共享文件审计系统可以对重要共享文件的修改、删除操作进行实时备份和实时还原，从而有效地防止了共享文件被误操作、恶意修改而丢失、损坏的情况。 6、大势至共享文件审计系统通过基于用户、IP地址、MAC地址的三重认证和识别机制，从而可以确保用户识别的唯一性和精准性，防止了借用他人账户而在本机登录，或利用他人电脑使用本地账户登录的混乱状态，确保了共享文件访问操作责任到人；同时，也可以有效防止外来电脑私自接入局域网而访问共享文件的情况。 7、大势至共享文件审计系统还可以与大势至商用安全计算机进行整合，从而有效地防止了通过访问共享文件服务器的USB接口，使用U盘、移动硬盘、蓝牙、手机等外接存储设备来复制、拷贝共享文件的行为。 8、大势至共享文件审计系统不对监控文件进行加密、解密操作，从而可以防止重要文件被加密后无法打开，造成重要文件无法还原、丢失的情况，从而可以更安全地保护共享文件。总之，大势至共享文件审计系统是国内唯一可以有效监控共享文件的访问操作记录的软件，可以有效记录共享文件的读取、修改、删除、剪切、重命名等，有效保护服务器共享文件的安全，保护单位的商业机密和无形资产。

一、应用背景当前国内企事业单位纷纷组建了自己的内部局域网，并且纷纷在局域网内部架设各种服务器，用于共享单位内部的一些重要文件、商业机密等，用于本单位内部员工的访问、修改、信息交换、协同工作等，极大地提升了办公、工作效率。但是，由于缺乏对员工访问服务器共享文件的审计、约束等网络管理工作，使得单位重要的共享文件常常被员工私自拷贝、修改、删除等，并且由于对外来电脑缺乏控制，导致外来人员通过携带笔记本、U盘、移动存储设备等接入到单位内部的局域网中，非法访问、拷贝重要的共享文件，给单位的信息安全和商业机密的保护带来巨大的风险和危害，严重影响了单位正常的生产、经营活动。为此，必须对员工访问共享文件的行为加以约束、记录和审计，从而便于更好地管理、保护共享文件，并为某系情况下的调查取证提供详实的记录。二、解决方案鉴于对共享文件进行审计和保护对企事业单位来说具有至关重要的作用，同时国内网络安全厂商没有专门的共享文件审计工具供用户选用。大势至研发团队顺应用户的这一需求，并通过艰苦的研发终于推出了“大势至共享文件审计系统”。“大势至共享文件审计系统”是大势至（北京）软件工程有限公司推出的一款专门用来监视和记录局域网内部用户访问局域网内部服务器、其他主机共享资源的内网共享文件安全审计系统。通过大势至共享文件审计系统你可以详细审计局域网电脑访问服务器共享资源的情况，包括新建、拷贝、修改、删除、重命名等操作，也即：某个电脑访问共享文件后的一切操作、访问日志都被详细地记录下来（并且通过一定的设置还可以防止员工私自修改、删除共享文件，或者对其修改、删除的共享文件进行还原、恢复等风险应对举措），同时用户对共享文件的所有操作记录都将存储到服务器的数据库中，并可以导出成word、excel等格式，便于提供给相关人员进行审计。三、功能介绍 1、记录服务器共享文件夹或共享文件的访问情况，包括读取、拷贝、修改、删除、重命名、打印等情况，可以记录访问者采用的登录账户、IP地址、MAC地址、时间、访问时长、具体操作情况等。 2、根据共享文件夹或共享文件来查询局域网电脑访问共享文件的具体操作情况。 3、根据IP或MAC地址来查询局域网主机对那些共享文件做了那些具体操作。 4、根据访问权限来显示对应的共享文件，没有访问权限的共享文件将予以隐藏。 5、对重要共享文件进行实时备份功能，可以在一定条件下进行实时还原。 6、对重要共享文件进行防删除操作，一旦蓄意或误操作删除共享文件可以恢复。 7、通过账户、IP和MAC地址三重绑定来限定客户端的电脑访问共享文件情况，一旦不符合绑定规则，禁止其访问共享文件。 8、限制外来电脑或未经授权的电脑访问共享文件，也即必须加入到许可访问共享文件的白名单电脑才可以访问共享文件。 9、支持在公司外部或外地访问单位局域网共享文件服务器并提供监控功能。 10、访问共享文件的日志情况可以导出为其他格式，如word、excel等，便于第三方审计。 11、集成开放的功能扩展接口，可以与我公司的商用安全计算机、外来电脑控制系统相互配合，强化对共享文件的保护。四、领先优势大势至共享文件审计系统与国内同类系统相比，主要优势如下： 1、大势至共享文件审计系统还可以与大势至商用安全计算机进行整合，从而有效地防止了通过访问共享文件服务器的USB接口，使用U盘、移动硬盘、蓝牙、手机等外接存储设备来复制、拷贝共享文件的行为。 2、大势至共享文件审计系统同时支持Linux操作系统和Windows操作系统，从而具有更好的适应性，满足各个系统平台用户的监控共享文件的需求。 3、大势至共享文件审计系统支持主流的各种数据库，如ACCESS、MySql、SQL、DB2、Oracle数据库等，从而可以充分利用客户服务器的数据库模块，避免了客户购买新的数据库或安装操作特定数据库。 4、大势至共享文件审计系统只需要安装在提供共享文件的服务器上即可监控局域网内所有用户访问服务器文件的各种操作，不需要在客户端安装，不需要调整现有的网络结构，也不需要额外其他设备，从而一方面极大地节省了部署服务器共享文件监控系统的复杂性和工作量，又大幅度节省了购买其他硬件的投资支出。 5、大势至共享文件审计系统可以对重要共享文件的修改、删除操作进行实时备份和实时还原，从而有效地防止了共享文件被误操作、恶意修改而丢失、损坏的情况。 6、大势至共享文件审计系统通过基于用户、IP地址、MAC地址的三重认证和识别机制，从而可以确保用户识别的唯一性和精准性，防止了借用他人账户而在本机登录，或利用他人电脑使用本地账户登录的混乱状态，确保了共享文件访问操作责任到人；同时，也可以有效防止外来电脑私自接入局域网而访问共享文件的情况。 7、大势至共享文件审计系统还可以与大势至商用安全计算机进行整合，从而有效地防止了通过访问共享文件服务器的USB接口，使用U盘、移动硬盘、蓝牙、手机等外接存储设备来复制、拷贝共享文件的行为。大势至共享文件审计系统不对监控文件进行加密、解密操作，从而可以防止重要文件被加密后无法打开，造成重要文件无法还原、丢失的情况，从而可以更安全地保护共享文件。五、系统架构大势至共享文件审计系统分为软件版本和硬件版本：其中，硬件版本基于全面优化的高性能文件服务器专用平台，比同类配置的普通服务器性能提升至少30%（详情见下文硬件参数）。平台架构 2U工业设计，高强度钢外壳 CPU型号至强中高端CPU CPU个数 2颗内存 4G-16G,DDR3/1333MHZ 硬盘 1TB-2TB 网卡双千兆网卡 Raid 支持预装大势至共享文件审计系统图2：大势至共享文件服务器简要参数操作系统：同时支持Windows操作系统（XP、Win2003、Win7、Win2008）或Linux操作系统，适应性更强。数据库：同时支持MySql和SQL数据库系统，便于进行大量日志的存储，并可以导出为Word、Excel等格式。安装部署方式：可以直接购买基于硬件架构的共享文件审计系统，亦可利用单位现有的硬件服务器设备单独部署大势至文件审计系统，无论何种安装方式，均不影响用户现有的网络结构。六、系统截图操作使用：本系统基于图形界面，操作极为简单，同时查询页面基于窗口方式，可以随意在局域网客户端电脑打开、登录、查询，极为方便。通过大势至共享文件审计系统，可以详细记录局域网电脑访问服务器重要共享文件访问、使用情况，从而可以更好地保护企业商业机密和重要信息。同时，也可以便于网管分析服务器共享文件的访问情况并采取措施加强网络管理，为事后审计提供凭据。

附件: 数据库审计系统需求说明序号指标项具体要求 1 硬件指标标准机架式设备，不少于 6个1000M电口，不少于 2个SFP光口（带SFP模块），具备独立的管理口和 HA 口；可用磁盘空间不小于 2T;吞吐能力》2000M峰值处理能力》18000条/秒，根据任意sql条件查询性能》2000万条/秒；日志存储量 > 6亿条；双冗余电源。 2 工作模式旁路镜像模式部署，不影响数据库性能和网络架构；支持 IPV6环境部署和IPV6 环境下数据库的审计；支持分布式部署，管理中心可实现统一配置、统一报表、统一查询。管理中心和探测器都可存储审计数据，实现大数据环境下磁盘空间的有效利用和扩展；管理中心和探测器直接的数据传输速率、时间、端口都可自定义。 3 协议支持支持主流数据库： Oracle、SQLServer、Mysql、DB2 infomix、Sybase、CACH、达梦、人大金仓、神舟 Oscar、南大通用 GBASE数据仓库teradata。支持主流业务协议： TeInet、SMTP POP3 DCOM 4 审计内容审计日志包括账号、 SQL语句、表、字段、存储过程、客户端工具、 IP、MAC实例名、主机名等条件。支持双向审计，特别是返回字段和结果、执行状态、返回行数、执行时长等内容，并能够根据返回结果设置审计策略，要求在不连接被审计数据库情况下完成。支持HTTP请求审计，提取URL POST/GETf直、cookie、操作系统类型、浏览器类型、原始客户端IP、MAC地址、提交参数等。可与堡垒主机进行联动，实现用户信息的定位。 5 智能发现自动识别流量中存在的数据库，也可通过扫描发现网络中的数据库。支持定期自动扫描数据库漏洞和不安全配置，提供漏洞扫描报告。 6 运维审计支持tel net、ftp、SSH协议及其他私有协议的旁路会话审计；会话审计日志应含源IP、目的IP、会话起始时间、会话结束时间、连接时长、会话总流量等维度。支持数据库协议解析成会话形式，并支持一键关联到具体的 SQL操作会话。支持根据目的IP、目的端口、源IP及时间范围对会话进行检索。 7 模型分析可智能学习数据库的访问行为建立模型。可通过行为轨迹图方式展示数据库访问行为。可基于账号、IP地址、访问权限、客户端工具等维度对行为模型做钻取分析、变更分析，对学习的安全基线以外的行为自动智能的进行告警。可以自动对比不冋时期的行为模型，以区分其审计日志数趋势、用户、 IP地址、工具、访问权限的差异情况。 8 规则分析支持账号、IP地址、MAC地址、操作类型、返回行数、执行时、表、字段、主数据库审计系统需求说明全文共2页，当前为第1页。数据库审计系统需求说明全文共2页，当前为第1页。机名、操作系统名、关联表数，实现对敏感信息的精细监控。支持基于返回结果集大小、返回内容、具体报文内容的细粒度审计规则。内置高危SQL查询和注入、远程命令执行、跨站脚本攻击、 FTP和telnet高危指令等审计规则不少于 300种。规则可支持导入、导出、优先级调整、分组、批量加载等。 9 白名单 支持用户名、操作类型、IP地址、客户端工具、系统用户名、主机名、 MAC地址、 SQL语句等条件设置白名单，条件不少于 10个。 10 告警与报表支持短信、邮件、syslog、snmp ftp等告警方式，支持冋时发送多人、聚合发送、单条发送、重发、发生统计等高级告警功能。可以根据单个库、数据库组生成报表，包括支持严格按照塞班斯（ SOX法案、等级保护标准要求生成多维度综合报告。支持按照数据库访问行为生成报表，智能识别帐号的增删、权限变更、密码修改、特权操作等行为。支持按照时间曲线统计流量、在线用户数、并发会话、 DDL操作数、DML操作数、执行量取多的SQL语句等报表。 11 日志数据管理审计数据保留策略应至少满足天数和百分比两个控制参数，且支持 web界面可配置，且恢复数据不影响正常的审计功能。支持自动备份审计日志，备份完后通过 FTP方式外送到外部设备；备份文件需要进行加密，且必须导入设备才能够进行恢复查看。 12 系统排错系统内置故障排错系统，可以支持一键排错对服务异常、许可证异常、流量异常等大部分常见故障的检测，并可提供快速的解决办法。支持流量分析功能，包括抓包、包内容查看、自动探测 sql语句等。 13 资质要求具备公安部颁发的《计算机信息系统安全专用产品销售许可证》。 14 售后服务原厂五年售后服务，包括安装调试、硬件质保、软件升级、特征库升级等。数据库审计系统需求说明全文共2页，当前为第2页。数据库审计系统需求说明全文共2页，当前为第2页。数据库审计系统需求说明

我一直想找一个通用性的过狗方法，预期是这个绕过方法不会涉及到下面3个方面（1）中间件，如iis、apache （2）数据库，如mysql、sql server （3）脚本语言，如php、aspx、asp 网上关于安全狗的sql绕过研究，大多数是fuzz绕过的帖子，fuzz方法常常使用注释绕过，涉及到数据库特性，而且广泛用于注释语法的星号（*）可能会被网站自带的防恶意代码模块拦截了，在实践中体验不好。太多fuzz过waf的文章，多数是使用注释绕过，在我看来，所有fuzz绕过，本质就是正则匹配逃逸。我计划写一篇脚本小子最爱的，涉及知识点最少，能直接放工具里全自动跑sql注入的过狗文章。 0x01 先说说安全狗是如何判断恶意代码安全狗、云锁、D盾等软件waf，内置一套正则匹配检测规则。这类软件waf对恶意代码的认识很有限。例如安全狗iis版，只知道要防护的服务器是iis作为中间件，并不知道要防护的服务器上面部署的数据库类型[Mysql|Sql Server|Access..]以及脚本语言类型[php|aspx|asp...]。再者，由于是依靠正则规则看恶意代码，所以对恶意代码拦截不全面。 0x02 起因某天，在本地搭建了一个Asp+Access+IIS环境，测试安全狗Bypass 用淘气字符串就绕过了安全狗的拦截。由于只能用在某些sql语句上，具体是哪一个字符串就无足轻重了。第一次在本地环境测试安全狗就绕过了，刚好那天看到论坛在征集优秀文章，计划着写处女作投稿。附上地址，虽然字符串数量不多，但是确实很淘气... https://github.com/minimaxir/big-list-of-naughty-strings/blob/master/blns.txt 淘气字符串我反复提交包含sql注入的数据包，Fuzz到了字符串[removed] 只有这一处，提示数据库报错了。那么，安全狗是分析到了什么？安全狗是用正则匹配看代码的，所看到，肯定不是一大串字符。反复删减，最终出来了 ///.js 0x03 绕过测试 ///.js js可以换成rm/wm/png/jpg等静态文件后缀测试发现，只要url包含 ///.js 就会触发内置的白名单，直接被iis版安全狗放行。既然是触发白名单，我直接把http防护策略全部开启，把防护等级调到最高来测试效果。 http://192.168.29.131:8980/sql.php?id=1 and 1=1 (拦截) http://192.168.29.131:8980/sql.php?id=1 and 1=1&safe;=///.js? (放行) http://192.168.29.131:8980/sql.php/1.js?id=1 and 1=1 (放行) 触发白名单直接放行url，顺带放行了XSS攻击代码，连xss过狗代码也不用研究了，哈哈。 http://192.168.29.131:8980/sql.php?id=1 and 1=1&xss;=[removed]alert(/xss/)[removed]&safe;=///.js? (既有sql注入，又有xss攻击，放行) http://192.168.29.131:8980/sql.php?id=1 and 1=1&xss;=[removed] （很evil，也放行）还能在url传输什么，放行恶意代码，脑洞... 不仅是放行url，连cookie位置也放行了。但是当恶意代码放在post数据，就绕不过安全狗。亲测，对于安全狗iis版，php,aspx,asp均能用这种方式过狗。 http://.../sql.php?safe=///.js?&id=1 http://.../sql.aspx?safe=///.js?&id=1 http://.../sql.asp?safe=///.js?&id=1 如果是Apache版安全狗，可以试试 http://.../sql.php/1.js?id=1 http://.../sql.aspx/1.js?id=1 备注：更新了图片，最新的iis版本，亲测，本文提供的两个方法依然有效～～～（思考花了一个星期，认认真真写稿也就两个晚上，8号的iis版已经更新了一次，然而漏洞依然存在，看来官方人员一直都不知道）影响范围：针对最新的安全狗iis版，从最右边开始匹配，存在某一个问号？附近的字符串满足正则表达式 \/.*?\/.*?\/.*?\.js（其中的js可以替换成如png、jpg等静态文件后缀）例如 ///.js?或http://ip/1.jpg? 就会触发内置白名单，无论数据库和脚本语言类型。触发白名单会放行url和cookie位置的恶意代码，但依然检查post的数据。（Apache版的规则库不一样，手工测试出精简的字符串，但是url无效访问，所以Apache版的还只能按照http://.../sql.php/1.jpg?id=1触发白名单） 0x04 搜索公开技术贴准备写稿了，防止遇到造轮子撞车，变换关键词，搜搜互联网最近半年的公开过狗技术帖。找到了一个造轮子的博客https://www.jianshu.com/p/507439c2dd94 看图。这个造轮子方法已经很普遍出现在各种BypassWaf文章里面。我的观点：安全狗不认识什么是php，所以这个bypass没挖掘到绕过的本质。而且有些php网站不支持PATH_INFO特性。对问题本质的理解不一样，如果是思考如何触发安全狗的正则匹配规则，就能发现这个绕过方法可以推广到aspx和asp。虽然方法很简单，发现了如何触发内置白名单，放行恶意代码，但是无法绕过恶意代码出现在post数据的情况。美中不足，思绪一度搁浅，因为我计划写一篇“脚本小子最爱，涉及知识点最少，能直接放工具里全自动跑sql注入的过狗文章”。 0x05 峰回路转择日再度整理思路，翻看手里的资料。再次看到上次那个造轮子博客。看到0x04造轮子三个字，我在思考什么是造轮子？一味地造轮子本身没有错，错在看不到车子，不清楚什么轮子最适合，于是就有了四方形，三角形，椭圆形的轮子，同样都是能上路的轮子。我的思维跳跃到了那个经典的fuzz造轮子代码。曾经用这个代码Fuzz一个小时的我，就觉得fuzz代码对sql语句的理解不多，出现很多没必要的测试。手工测试sql语句的经验告诉我，所有fuzz过狗payload本质都是正则匹配逃逸（包括特殊的截断），正则匹配逃逸的核心要点绝不是/××/注释。于是对造轮子作者的payload进行测试，发现最终有用的是#a (安全狗4.0) 所以说，注释绕过的是 # 配合 \n id=1 union select 1,2,3 （拦截） id=1 union# select 1,2,3 （拦截） id=1 union#a select 1,2,3 （放行）原理：安全狗遇到注释符号 # 就会丢弃后边代码的检测。为了提防使用回车\n绕过正则过滤，只是拦截了# ，正则规则库没考虑到#+字符串+ 的情况，造成了BypassWaf 改写了个 tamper ,命名为Bypassdog40.py （成功测试了iis版安全狗4.0和apache版安全狗4.0）核心代码只有一条，把所有空格替换为 #a if payload: retVal = re.sub(r"\s", r"#a ", payload) 执行 sqlmap -u “http://192.168.29.131:8980/sql.php?id=1” -v 3 --random-agent --tamper=Bypassdog40.py 成功跑出所有sql注入payload 紧接着又测试注入点在post和cookie的情况，自动化注入过程很顺利。补充：安全狗Apache3.5 规则刚好相反，拦截#a ，放行# ，命名tamper为 Bypassdog35.py 0x06总结真理总是直接，甚至是简单的本文包含了两个过狗方法：一个是触发内置白名单的正则规则，能放行url和cookie的恶意代码检测，包括了xss攻击。美中不足就是绕不过post数据的恶意代码检查。另一个Bypass方法是传统方法，提供了很简单的tamper，核心代码只有一句，可以用sqlmap跑自动化，大致可以通杀安全狗。遇到无法读数据库情况，例如拦截了INFORMATION_SCHEMA，可以配合触发内置白名单的方法，直接放行。 MySQL #单行注释 -- 单行注释（特别注意，-- 后有个空格！！！） /*多行注释*/ MS SQL Server -- 单行注释 /*多行注释*/ Oracle REM单行注释 -- 单行注释 /*多行注释*/ 新的两个tamper命名为Bypassdog400 和Bypassdog350 适用于 MS SQL Server和Oracle

基础和管理

17,377

社区成员

95,128

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章