sql注入空格被过滤_手工sql注入&&绕过waf &&一个实例分析

最新推荐文章于 2022-07-26 19:18:15 发布
最新推荐文章于 2022-07-26 19:18:15 发布
阅读量265 收藏
点赞数
文章标签: sql注入空格被过滤

764be5b2a9c450744b9b744930c6f8b2.png

原创: K 合天智汇

这篇文章,将教大家基本的手工sql注入和绕过waf的知识;分享一个实例,为了效果建议读者自己去搭建环境,因为真实环境都不怎么理想。
1. sql注入的基础
2. sql注入绕过waf
3. sql注入一个绕过实例
手工sql注入的基础基础注入,盲注注入(时间和bool),报错注入,联合注入(union)
推荐sql-labs资源这个练习平台,推荐《mysql注入天书pdf》1.base(基础的语句注入)
我们利用该表可以进行一次完整的注入。以下为一般的流程。
1)猜数据库

be8d3730f74eedefd354ce4287797e22.png


2)猜某库的数据表

0f17e1dac69d360396be99a308c161b3.png


3)猜某表的所有列

ce8e6ef167c48f6af8042f136a5cc0b5.png


4)获取某列的内容

9e200d61bafda0c2c22a2148caeb5198.png

2.union注入
union注入和基础的注入相差不大,只需将前面的数据置0,即没有那个指定字段即可;当然先要确定字段,下面的文章有分析3. 时间注入
主要用到一些截断字符对数据库的字符进行判断
1)先试数据库的长度,当数字为6时发生了延时,说明数据库名共五个字符。

a26fcb40fa0b2a0af1d5f909373fd08c.png


2)开始猜数据库的字(当发生延时,说明当前数据库第一个字母为m):

cece4e1608c4187133f8b64a469e55c3.png

3)其他的数据只需修改查询语句即可4. bool注入是根据回显,对的查询是一种回显,错的查询又是一种回显
也是字符截断函数来操作的
if(length(database())>8,1,sleep)
其他的不多说了5. 报错注入
是通过报错函数来进行操作的https://www.cnblogs.com/wocalieshenmegui/p/5917967.html 十种报错注入
作者常尝试的是这三个报错函数updatexml,exp,floor

8629d1d53489370a828978edcc5d7858.png


sql注入绕过wafok,这是本篇的重点
作者就不填写那些网上普遍有的,给出几个记得到并且常用的,但是有些简单的还是要简单试下1. 大小写混写2. 编码试下 作者常用url编码;拿到数据库名和表名常用16进制替换他们的名字3. 替换
and &&
or ||
相同函数的替换(这个先要过前面的引号闭合,字符过滤;前面的如果过不了,一般作者都考虑不到这,真要用到时才换)4. 注释绕过
1)内联/*!50000*/,一般是被杀了的
2)/*!50000union/*!50000/*!(select*/~1,2,3) (过安全狗写法,亲测可用,下面实际操作我们将这样操作)
3)句末注释://, -- , /**/, #, --+,-- -, ;--a
作者常用 -- -,屡试不爽(一般+是被过滤了的)
实际运用
手工操作一波,我的测试过程:
单引号走起

8597f5e87e8077e6e8a94899a284a0d9.png


这种情况gpc一般是打开了
双引号,同样如此:

5072a4f88d9374ec7054deedaad5460d.png


ok,其实我们首先应该确定是字符型参数还是数字型
当id=2

83c5ea8a565a02cc186b02375990e94f.png


id=1+1

993e94d330b14aa8e0d3fa8dbb1366e3.png


这里+是被过滤了的,所以我们用-来做个运算

83e896881d6c4d6c8b8aeeba698e4aa8.png


一切正常
ok,说明是数字型的参数,那么就不用引号闭合,可以进行接下来的注入
(这里给大家补充一点小知识:cms审计时,这种id之类的都是inval函数处理的;其他的cms地方sql注入漏洞很有一些是因为数字型参数不需要引号闭合进行操作的)
如果是字符型的怎么办,字符型的gpc情况确实不好办,作者遇到的基本是编码绕过:这里的编码是gbk的编码,sprint函数这类的编码漏洞绕过;编码漏洞情况同样适合xss漏洞,都是绕过waf。
这里,作者是先进行常规注入,id=2 order by 2

be9b61eb3b10d05fd711ffc4f086db97.png


id=2 order by 1 正常

c37e34bd842e57b0d08d6f10dbae99ea.png


说明只能显示一列数据了
OK,我们进行union测试

8e53496aa811b77c2abbafc8bb7ddcff.png


发现了什么,union不见了
不急,我们有姿势
双写union(作者还真看到过只过滤一次关键词的代码)

3d711a7aa5b5a866890756115a057258.png


嗯,看来是过滤那个单词大小写(虽然过时了,现在匹配函数都直接大小通杀,不妨碍随手试下)

f21c749c910213d09dfb61c850f24de8.png


看到UNIon被ban了
OK,不要着急,我们试下其他的方法
用过狗方法,这里就这样过了(普通内联试过无法)

6856673e750a04484be5f60b19fecebb.png

d1f9a80f979cdc9fb4849c10ea11b0f1.png

26fa7bbf047df9af9aa4aa077b920314.png

412123f8289203974ab7487d6f205a41.png


但美中不足的是网站的数据库系统配置出了问题,出现下面这个错误
作者这样尝试

af75c0e0f20dc8fca04bd5866b2a5791.png


不指定库也是查找当前库;再尝试用limit0,1限制,效果也是如此

4a253ae7882679a43cb8636a046e52b5.png


Illegal mix of collations for operation 'UNION'
遇到了这个问题,是数据库的编码不一样
原因参考:https://www.cnblogs.com/google4y/p/3687901.html
ok,我们继续,作者直接or来取数据库

b942efe47b930561aeb07467c8e278dd.png


被ban了
|| 代替or
and呢(这比较有意思了,也是经常遇到了情况,waf特定情况才ban字符串,绕过本来就是经验和猜)

b6577e42f9fbdfdf566e2c380c045f91.png


我们看到,没有语法错误,是正确的,那我们取下数据库呢

ae7cbc667a9c774474af51493a4a7ee5.png


按照mysql的语法,作者原先以为没有错(其实是错的语法)

c7c73b71ce9b9788b36a861125bcb938.png


本地测试了下

5d53b30c4946d100433275c9cb699ce9.png


错误,再多语句,分号试了下,是对的

eceb480c8d74feae88091103b11fbe99.png


想当然的给网址来了下分号(sqlmap中根据数据库的不同也有多语句测试)

93a00c42eb5ec32f38bc086031dc25c2.png


当然是错误的
时间注入嘛,测试成功(突破口哦)

a7d7f8571ff109d1a93ac7ce339d9ba9.png


作者一开始这样测试

15e907a502ff45ac535ec07cbe4c8db6.png


嗯,忘记单引号被过滤
用mysql的其他函数来解决

99b0bc10ae48fc15fe112740a19d0539.png


附上测试代码(sql时间盲注的代码除了sql的语句不同,其他的类似;bool盲注,就是修改返回判断条件,if “aaa” in res.content:,bool就没有去测试了,有兴趣自己试一下吧)

ebad935826fbfd820bd5ec8f28334836.png


报错注入试下:

530bb6d5057452335854439968ba0435.png


这么多报错函数,就没有一一去测试
总结
本篇文章较基础,但对于作者来说,较全面了
手工注入知识就这些,更高级的就是各种姿势了
大体也是这个流程,这也是作者的所有干货了
文章仅用于普及网络安全知识,提高小伙伴的安全意识的同时介绍常见漏洞的特征等,若读者因此做出危害网络安全的行为后果自负,与合天智汇以及原作者无关,特此声明!

weixin_39979215
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
sql盲注快速出数据之超级注入工具
渗透测试研究中心
01-30 1523
一些朋友在群里经常遇到sql注入的问题,有时候有waf、有时候是盲注、有时候不知道如何下手?今天分享一款工具,名字是超级注入工具 下载地址:https://github.com/shack2/SuperSQLInjectionV1 案例1: 带waf的盲注 如下图,单引号报错,而且有报错回显,这种情况利用就是典型的布尔盲注,只要我们能在后面构造一个 and 1=1或者 or 1=1这种...
mysql时间盲注if的绕过_WAF机制及绕过方法总结:注入篇
weixin_35728286的博客
02-02 1404
任务目标1.收集网络上各种sql注入时使用的payload并理解其适用的环境(检测注入、利用注入);2.记录sqlmap的检测和利用过程中使用的payload;3.理解以上涉及的sql语句的意思,其中会涉及不同的数据库、不同注入场景。将收集方式和学习过程整理形成报告;4.扩展学习:理解sqlmap自带tamper的原理0x01 Payload收集以下payloads都基于单引号字符型注入。若是整型...
SQL注入攻击
人生何适不艰难 赖是胸中万斛宽
06-03 1149
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入SQL注入
Web安全之Sql注入漏洞
qq_52358808的博客
10-05 2649
Sql注入漏洞 SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限沦陷)。 sql查询过程 常见分类 根据注入点类型分类:1.数字型注入 2.字符型注入 根据数据传递的方式分类:1.get 注入 2.post 注入 3.head 头注入 根据执行效果分类:1.有回显的注入 2.盲注 3.报错注入 4.堆叠注入 5.宽字节注入 Sql.
SQL注入 Less26(过滤空格和注释符,使用不带空格的报错注入)
开心星人的博客
07-26 860
由于Windows下无法使用一些特殊字符来替换空格,Linux可以,可以去Linux下尝试。这个问题,之前报错注入也出现过,可能是多出了Limit0,1导致构不成整条语句了。不能够正常的提交给服务器,所以我们必须输入他的url编码。用括号()将每个查询的部分独立开。尝试了一下,发现绕过不了空格。前后都必须要有空格,所以使用。%26是&的url编码。...
SQL注入一些过滤绕过总结
热门推荐
weixin_44300286的博客
07-20 1万+
前言: 前几天做了几道SQL注入的题,一上去就遇到这样那样的过滤,弄得我很难受,所以这里写一篇关于过滤一些的总结。 1、过滤关键字 过滤关键字应该是最常见的过滤了,因为只要把关键字一过滤,你的注入语句基本就不起作用了。 绕过方法: (1)最常用的绕过方法就是用/**/,<>,分割关键字 sel<>ect sel/**/ect (2)根据过滤程度,有时候还可以用双写绕过 s...
sql注入空格过滤_SQL注入基础整理 - 11阳光
weixin_39867125的博客
10-21 1112
题记 本文转自 前言: 对已知的SQL注入手段作了较为全面和详尽的整理,大概是我几年的全部积累了,虽然可能有许多遗漏的地方,但我相信还是很有参考价值的。本文的注入场景为:一、基础注入 1.联合查询 即最常见的union注入:若前面的查询结果不为空,则返回两次查询的值:若前面的查询结果为空,则只返回union查询的值:查完数据库接下来就要查表名:' union selectgroup_c...
mysql注入符号
qq_39654116的博客
01-04 279
注释符 单行注释 单行注释 单行注释 多行(内联)注释 # -- x //x为任意字符 ;%00 /*任意内容*/ # 单行注释,实际渗透中最好用之前用url编码下,效果会更好,编码后的值为 %23 -- - 注意中间的空格 -- +(空格) `` 在bypass一些比较老的waf可能还会有些用 /**/ 多行注释 /*!*/ 内联注释 /*!50000 */ mysql 5通用,带版本内联注释 常用运算符 运算符 说明 运算符 说明 &amp;&amp; 与,同and。
9-1freebuf学习
weixin_44897902的博客
09-01 630
摘要: sql注入绕过技巧,关于/!/解除注释和/!50000/混淆绕过,用于360webscan的伪造白名单特殊目录,复参数绕过过滤select空格可用select’name’绕过,from{x 表名}语法(过滤from空格),文件上传的后缀名绕过:filename="shell’;.php" 新的一个月,从freebuf开始呢 来自freebuf上的一篇与waf斗智斗勇的每一天 https://www.freebuf.com/articles/web/247655.html 首先从sqlma
深入了解SQL注入绕过waf过滤机制
02-11
深入了解SQL注入绕过waf过滤机制
关于SQL注入绕过的一些知识点
09-09
网上关于SQL注入绕过技巧有很多,最近正好空下来,想着整理下关于SQL注入绕过的一些姿势。欢迎大牛补充,下面这篇文章主要介绍了关于SQL注入绕过的一些知识点,总结的还是相对比较全面的,需要的朋友可以参考下。
浅谈一次与sql注入 &amp; webshell 的美丽“邂逅”
01-19
sql注入与“她”相遇 某一天,天气晴朗,心情舒畅。“她”来了,打破了笔者的美好时光。下午2点多钟,笔者和朋友在苏州街的天使汇二楼极客咖啡参加某个云厂商的Kubernetes一场技术沙龙,正听得兴致勃勃的时候,笔者...
深入理解SQL注入绕过WAF过滤机制
12-21
0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 本文小结 0x6 参考资料
2024-2030全球及中国PCB接触式探头行业研究及十五五规划分析报告.docx
04-18
2024-2030全球及中国PCB接触式探头行业研究及十五五规划分析报告
网站界面设计mortal0418代码
04-18
网站界面设计mortal0418代码
PHP毕业设计-校园失物招领系统源码+数据库.zip
04-18
PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可
2024年神经酸行业分析报告.pptx
最新发布
04-18
2024年神经酸行业分析报告.pptx
Java爬虫信息抓取的实现 完整实例(源码)
04-18
【Java爬虫】信息抓取的实现 完整实例(源码)
sql注入绕过waf
09-03
绕过WAF(Web应用程序防火墙)可以增加攻击成功的几率,但我无法提供关于如何绕过WAF的具体指导或支持任何非法行为。 然而,我可以提供一些有助于避免SQL注入攻击的一般性建议: 1. 使用参数化查询或预编译语句:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值