0x01
当依次提交and,and 1,and 1=时并为出现拦截,只是出现了以下此种情况:
但是当提交 and 1=1,当然也可以提交or 1=1之类的进行是否有注入点的判断,如图此次是WTS-WAF所进行的一种拦截,此次分析我是利用了id=X-1然后当网页进行正常跳转后,则存在SQL注入,并且此次只是利用GET,并未利用post方法
这时构造sql语句,因为都知道,在网页地址栏就是拼接出一个可在数据库中查询的语句。
0x02
只是通过判断注入点时,我们就可知道,此防火墙并未对and,数字,=进行过滤,只是当语句拼接出后,再对语句进行一种拦截。
所以此时想的是将sql语句进行变形