En este escrito me gustaría enseñarles un caso algo peculiar con el que me encontré testeando un sitio web.
Se trata de una inyección sql en donde pude bypassear el waf “mod_security”.
Al iniciar el el testeo de inyección sql me doy cuenta que el sitio web esta usando ese waf.
nos aparece el error al usar un simple:
site/ejemplo?parameter=-1+union+selec+1,2,3,4,5,6,7+--+Ahora, no les voy a mentir, con el simple hecho de codificar el payload con comentarios, pude bypassear el filtro del waf.
site/ejemplo?parameter=-1+/*!50000union*/+/*!50000selec*/+1,2,3,4,5,6,7+--+
Podemos ver que una de las columnas vulnerables es la numero cuatro.
Pero como todo una amante de las inyecciones sql decidí no dejarlo asi e intentar otros métodos, otros payloads.. Después de muchos testeo y payloads mezclados fallidos.
Terminé intentando esto:
AND mod(29,9)+div+@a:=(concat(database(),"--","_Y000!_"))+UNION+DISTINCTROW+SELECT+1,2,3,@a,5,6,7Ahora, qué es todo esto?
Tenemos:
"AND" = El operador Y muestra un registro si todas las condiciones separadas por Y son VERDADERAS.