SQL绕安全狗【本地环境随便耍耍】

最新推荐文章于 2024-09-04 21:47:25 发布
最新推荐文章于 2024-09-04 21:47:25 发布
阅读量346 收藏
点赞数
分类专栏: 网络安全渗透 文章标签: 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49420271/article/details/131340825
版权

1.GET字符型注入

1.1.HEX编码

1.1.1.编码or后面的数据实现绕过

PoC:viwfwerncffe'+or+0x3a!=1--+【绕狗成功】

0x3a表示“:”

1.2.空格替换

正常在BP中修改数据包时,空格一般使用+来代替。但是这也容易被WAF拦截,使用其他的语句代替+,可以有效避免,例如:/*//--//*/

1.3.实战整体绕过思路

1.3.1.结论

PoC:vince'+and+if///_///(1=1,sleep///__///(5),1)--+

1.3.2.渗透测思路

BP抓包进行一些简单的基础测试判断是否存在SQL注入

加了一个单引号

最低0.47元/天 解锁文章
KAKAyyds
关注
专栏目录
常见 Web 安全攻防总结 Day23(扩展)
qq_42370150的博客
12-21 406
XSS 首先说下最常见的 XSS 漏洞,XSS (Cross Site Script),跨站脚本攻击,因为缩写和 CSS (Cascading Style Sheets) 重叠,所以只能叫 XSS。 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。X...
测试面试点
qq_38338941的博客
09-04 4419
测试面试题 三、问答题 1、在您以往的工作中,一条BUG记录都包含了哪些内容?如何提交高质量的bug记录? 答:a)包含内容:bug编号,bug标题,bug模块、具体描述,bug等级,重现步骤,bug出现的版本号、测试环境,指派给的人,修复等级,bug状态、开发接口人员及版本号,相关附件等 每条bug里只包括一个bug、不可重现的bug也要报告、描述要简明准确、根据bug问题的...
安全狗SQL注入绕过
qq_38675102的博客
02-09 2749
安全狗waf绕过
SQL注入绕过安全狗的waf防火墙,这一篇就够了,8k文案超详细_mysql注入waf
最新发布
heike_Ch的博客
09-04 966
WAF(Web应用防火墙)作为一种专为Web应用程序设计的安全防护工具,其核心功能在于通过实施一系列针对HTTP/HTTPS协议的安全策略,来增强Web应用的安全性。WAF内置了精心设计的检测逻辑与规则集,这些规则旨在对每一个进入系统的请求内容进行细致审查,并对任何违反安全策略的请求采取即时且有效的防御措施,从而维护Web应用环境的纯净与安全。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
SQL注入绕过安全狗
blackguest07的博客
01-12 2502
SQL注入绕过安全狗,内容很详细,本文仅供学习,请勿做一些非法事情,出事与博主无关。
绕过安全狗SQL注入
baynk的博客
08-06 3386
搞了几天CTF的注入后,熟悉了一些姿势,来尝试对安全狗进行绕过,发现出人意料的简单,主要是用来记录下当前安全的绕过方式,反正过一段时间可能就不能用了。。。不做任何解释,仅做记录,原理基本上在之前的博客中都有写 实验环境 windows server 2008 phpstudy 安全狗V4.0.2395 实验前准备 开启phpstudy,这次和之前有点区别,由于要安装安全狗,所以在开启phpst...
绕过安全狗拦截的SQL注入
记录学习,一起进步
02-26 3019
绕过安全狗拦截的SQL注入
芯片安全和无线电安全底层渗透技术
zz12345600354的博客
04-28 681
和传统网络安全不同,硬件安全、芯片安全、无线电安全属于网络底层安全的重要细分领域,是网络安全的真正基石,更是国家安全的重要组成部分,“夯实网络底层安全基础,筑牢网络强国安全底座”,是底网安全重要性的另一真实写照。
web安全防范
宅神的博客
06-28 4706
web安全 安全永远是产品的最基础需求 这里总结几种常见攻击与防范 一.XSS XSS,跨站脚本攻击,原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。 1. 非持久性XSS 非持久型 XSS 漏洞,也叫反射型 XSS 漏...
cad与连接mySQL数据库,如何连接CAD与ACCESS数据库或excel表格?
weixin_42660494的博客
03-12 1622
2回答2020-10-16浏览:23分类:办公入门回答:1、首先准备好一个要导入Access的Excel文件:2、打开Access选择外部数据-Excel,弹出短话匡,单机“浏览”按钮,选择准备好的Excel文件,如下图:3、Access会自动读取Excel的页签的名称,这里选择唯一的Sheet,名字叫 plan,如图:4、单机下一项,选择第一行包含列标题,目的是把第一行的数据变成字段名称:5、为...
SQL注入绕过安全狗的五种方法
01-11 1415
2,输入 1’ or 1 and 1 --+ (意思是闭合参数tel的单引号,or 1 and 1 让条件结果为真,无论1是否存在都会返回数据,–+ 闭合后面的其他语句)回显页面正常。有我们必火的小女生好看吗?–:表示注释,在mysql中真正的注释是"-- ",这里必须有个空格,否则不是注释,%0a是换行的url编码,换号后,表示重新查询,前面的注释对后面的语句将不再影响,这也要注意,这里红色框处,当url参数出现两个同名参数时,将取最后一个参数的值,所以这里会取后面的tel的值,前面传参/
SQL注入-绕过安全狗
LJH1999ZN的博客
02-15 5111
绕过安全狗的常见四种方式 id=1'/*!44444order*/ /*!44444by*/3--+
记一次SQL注入绕过安全狗
weixin_51641247的博客
05-26 322
1、内联注释 可以绕过大多数情况2、在一些被拦截的地方多用/\*%23\*/和/\*!10440%0a\*/,有奇效。%23为#编码,%0A为换行一般来说,内联注释只有在紧跟版本号的情况下才有意义,其主要目的是通过版本号来控制部分语句在不同 MySQL 版本下的执行情况绕过原因:安全狗误以为/**/是注释的内容所以全部忽略。
什么,有狗快跑!慢着,这次手把手教你怎么过安全狗!(sql注入篇)_sql注入最新安全狗
heike_Ch的博客
08-08 847
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Java基础面试题
热门推荐
GAGA704的专栏
06-26 1万+
1、面向对象的特征有哪些方面   1.抽象:抽象就是忽略一个主题中与当前目标无关的那些方面,以便更充分地注意与当前目标有关的方面。抽象并不打算了解全部问题,而只是选择其中的一部分,暂时不用部分细节。抽象包括两个方面,一是过程抽象,二是数据抽象。 2.继承:继承是一种联结类的层次模型,并且允许和鼓励类的重用,它提供了一种明确表述共性的方法。对象的一个新类可以从现有的类中派生,这个过程称为类继承
10个 解放双手的 IDEA 插件,少些冤枉代码
m0_63213253的博客
10-25 253
正经干活用的 分享一点自己工作中得心应手的IDEA插件,可不是在插件商店随随便便搜的,都经过实战检验,用过的都说好。可能有一些大家用过的就快速划过就行了。 1、GenerateAllSetter 实际的开发中,可能会经常为某个对象中多个属性进行 set 赋值,尽管可以用BeanUtil.copyProperties()方式批量赋值,但这种方式有一些弊端,存在属性值覆盖的问题,所以不少场景还是需要手动 set。如果一个对象属性太多 set 起来也很痛苦,GenerateAllSetter可以一键将对象属
什么,有狗快跑!慢着,这次手把手教你怎么过安全狗!(sql注入篇)
wananxuexihu的博客
07-09 1120
在记忆里上次安全狗还是在上次,开开心心把自己之前绕过狗的payload拿出来,发现全部被拦截了,事情一下子就严肃起来了,这就开整。
SQL注入绕过安全狗的waf防火墙,这一篇就够了,8k文案超详细
xt350488的博客
07-16 2907
通过本文的详细解析和实验,我们深入了解了SQL注入攻击的基本原理及其在实际应用中的变种和绕过技巧。在面对如安全狗这样的WAF防护时,攻击者并非束手无策,而是可以通过多种方式绕过检测规则,成功实施SQL注入攻击。本文首先通过基础的SQL注入测试,验证了安全狗WAF对“and 1=1”等简单SQL注入模式的识别能力。随后,通过拆分和注释符的使用,我们发现WAF可能是通过识别特定模式(如“and”后紧跟空格和字符)来拦截SQL注入的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值