【经验总结】SQL注入Bypass安全狗360主机卫士

最新推荐文章于 2024-08-28 16:35:07 发布
最新推荐文章于 2024-08-28 16:35:07 发布
阅读量893 收藏 7
点赞数 1
分类专栏: 经验总结 文章标签: SQL注入 Bypass WAF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37683287/article/details/103848421
版权
本文记录了作者在学习SQL注入Bypass过程中对安全狗和360主机卫士的绕过方法。通过环境搭建、安全狗的()替换空格、/!/, /**/混淆等技巧,以及360主机卫士的&&绕过和缓冲区溢出方法,展示了POST方法在绕过WAF中的作用。文章还提到了SQL注入工具Shack2的使用。" 120744563,10352294,XCTF图片转码揭秘:从01串到ASCII,"['ctf', '信息安全', '图像处理', '编码解码']
摘要由CSDN通过智能技术生成

0x00 前言

这类的文章已经是比较多了,本文也主要是作为学习笔记来记录,主要是记录一下我在学习 SQL 注入 Bypass 的过程,同时前人的不少绕过方法已经失效了,所以这里也是记录一下最新规则的一些绕过方法。

0x01 环境搭建

测试环境:Win7 + Apache + MySQL 5.7.26 + PHP 5.5.45

测试代码:

<?php
if ($_GET['id']==null){
   $id=$_POST['id'];}
else {
   $id=$_GET['id'];}
$con = mysql_connect("localhost","root","root");
if (!$con){
   die('Could not connect: ' .
最低0.47元/天 解锁文章
TeamsSix
关注
专栏目录
SQL注入Bypass安全狗4.0.pdf
04-08
SQL注入攻击绕过安全狗4.0 SQL注入攻击是常见的Web应用安全漏洞之一,攻击者可以通过操纵SQL语句来访问或修改数据库中的数据。安全狗4.0是一款Web应用防火墙,可以检测和防止SQL注入攻击。但是,攻击者可以使用各种...
深入了解SQL注入绕过waf和过滤机制
kendyhj9999的专栏
06-06 5166
深入了解SQL注入绕过waf和过滤机制 来源:http://drops.wooyun.org/tips/968 16人收藏 收藏 2014/03/02 13:24 | r00tgrok | 技术分享 | 占个座先 知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filte
第四篇:Bypass 360主机卫士SQL注入防御(多姿势)1
08-03
0x01 环境搭建360主机卫士官网:http://zhuji.360.cn 软件版本:360主机卫士Apache 纪念版 测试环境:phpStudy本地构造S
SQL注入绕过安全狗waf防火墙,这一篇就够了,8k文案超详细_mysql注入waf
最新发布
baimao__Ch的博客
08-28 862
WAF(Web应用防火墙)作为一种专为Web应用程序设计的安全防护工具,其核心功能在于通过实施一系列针对HTTP/HTTPS协议的安全策略,来增强Web应用的安全性。WAF内置了精心设计的检测逻辑与规则集,这些规则旨在对每一个进入系统的请求内容进行细致审查,并对任何违反安全策略的请求采取即时且有效的防御措施,从而维护Web应用环境的纯净与安全。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
Bypass 360主机卫士SQL注入防御(多姿势)
weixin_33675507的博客
06-04 214
0x00 前言 在服务器客户端领域,曾经出现过一款360主机卫士,目前已停止更新和维护,官网都打不开了,但服务器中依然经常可以看到它的身影。从半年前的测试虚拟机里面,翻出了360主机卫士Apache版的安装包,就当做是一个纪念版吧。这边主要分享一下几种思路,Bypass 360主机卫士SQL注入防御。 0x01 环境搭建 360主机卫士官网:http...
SQL注入学习之初识注入bypass(六)
公众号:乌云安全
02-03 1022
0x00 简介 在MySQL里面注入和搭建环境来其实差不多,推荐使用sqli-labs来练练手,网上一堆的方法也是我们从学以来用到的 加引号 报错 and 1=1 and 1=2 然后SQLmap 一丢有waf就凉凉,可能and的时候就凉了,所以手工是也算个必修课吧。 直接用 and 1=1 一类的多属于 数字型注入 select * from admin where id = $id; 被包裹起来的就不行的,所以 一般要看报错的语句,当然也不是加个引号没报错就没了,具体分很多情况的。(废话多了点顺便讲清
sql注入bypass
ymy13326056686的博客
02-02 494
sql注入bypass
waf绕过—过360主机卫士sql注入
一个普普通通的博客
03-07 2883
360主机卫士sql注入
第07篇:Bypass 360主机卫士SQL注入防御(多姿势)1
08-03
360主机卫士是一款针对服务器的安全防护软件,其中包含了SQL注入防御功能。然而,任何防御系统都有可能被绕过,以下将详细探讨如何绕过360主机卫士SQL注入防御。 ### 0x02 WAF测试 **姿势一:网站后台白名单** ...
我的WafBypass之路(SQL注入篇)
07-11
去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常谈的话题也没什么可写的。很多人一遇到waf就发懵,不知如何是好,能搜到的各种姿势也是然并卵。但是积累姿势的过程也是迭代的,那么就有了此文,用来总结一些学习和培养突破waf的思想。可能总结的并不全,但目的并不是讲那些网上搜来一大把的东西,So…并不会告诉大家现有的姿势,而是突破Waf Bypass思维定势达到独立去挖掘waf的设计缺陷和如何实现自动化的Waf Bypass(这里只讲主流waf的黑盒测试)
安全狗SQL注入绕过
qq_38675102的博客
02-09 2654
安全狗waf绕过
SQL注入及其bypass
qq_45944626的博客
08-24 1767
SQL注入及其bypassSQL注入整数型注入字符型注入报错注入布尔盲注时间盲注cookie注入UA注入bypass常用函数罕见函数代替空格特殊符号绕过WAF SQL注入 整数型注入 加入单引号 语句出错,不会回显 加and 1=1 语句执行正常,返回一般页面 加and 1=2 语句正常运行,返回原网页,但无法查询结果 id=1 order by 1 查询数据库长度,若为2 id=-1 union select 1,2 查看回显位置,若为1,2,则可在1,2处添加查询语句 id=-1 unio
mysql 安全狗_绕过安全狗进行sql注入(MySQL
weixin_28759259的博客
01-25 500
看我如何一步一步绕过安全新直能分支调二浏页器朋代说狗前言前几天渗透了一个站,由于没有做好善后工作被管理员发现了,再次访问那个站的时候,管理员已经删了大马,装上了网站安全狗(我估计大马应该是安全狗删除的,毕竟那个管理员真的太懒了,我的小马还在,并且居然菜刀还可以连接),为了给这个管理员增强点安全防护意识,我就开始研究起了安全狗的绕过。实验环境网站安全狗v遇新是直朋能到分览4.0apache 2.4....
SQL注入Bypass WAF
PolarPeak的博客
06-01 2934
Best WAF Bypass 1 : order by /**/ORDER/**/BY/**/ /*!order*/+/*!by*/ /*!ORDER BY*/ /*!50000ORDER BY*/ /*!50000ORDER*//**//*!50000BY*/ /*!12345ORDER*/+/*!BY*/ UNION select /*!00000Union*/ /*!00000Select*/ /*!50000%55nIoN*/ /*!5000...
sql注入bypass方法
kwist_jay的博客
07-01 878
https://www.cnblogs.com/drkang/p/8497142.html https://www.cnblogs.com/drkang/p/8644399.html
SQL注入绕过安全狗
blackguest07的博客
01-12 2430
SQL注入绕过安全狗,内容很详细,本文仅供学习,请勿做一些非法事情,出事与博主无关。
Bypass安全狗
sun_k的博客
09-08 664
0x00 手工fuzz绕过安全狗 环境 安全狗最新ApacheV4.0版(Windows) Sqli-lab-Less-1 Phpstudy集成环境:Apache2.4.39、Mysql5.5.29 Sqli-lab-Less-1中包含了联合查询、报错注入、布尔盲注、时间延时盲注等注入姿势,方便我们进行测试。 1、fuzz安全狗拦截策略 http://192.168.174.136/sqli-labs-master/sqli-labs-master/Less-1/?id=1' 报错且不拦截 http
绕过SQL注入安全狗4.0的实战挑战
SQL注入Bypass安全狗4.0是一个关注点在于防范SQL注入攻击的安全防护软件,本文档似乎是在探讨如何通过实际操作来测试或绕过这种安全工具。在给出的源代码片段中,我们可以看到一个PHP应用程序,该程序试图验证用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值