中国网络渗透测试联盟
标题:
mysql注入对and or的过滤及uinon select等过滤的一个方法突破
[打印本页]
作者:
admin
时间:
2013-2-23 12:41
标题:
mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替
. t% V' ]; F5 G1 {" h7 {
4 |$ \( y1 X0 `/ b0 c; d
2. or 用||代替
# d: Y+ g( s* A" o
7 b) [8 O r6 y. a- D! A7 {9 o5 P
3.union select from 变成 /*!union*/这种。
: k7 t" x# z. Q
: o+ f6 D7 G' F% J! l2 G: c
一个例子:
0 M9 b+ s" z8 z6 ~# G
- r# L% B9 k4 {! P) @ E2 N9 C
/ select 1 /*!union*/ select 2 from adad where 1&&1
- M' ~# Q M8 r' \. y/ C2 j9 N
! M' e& U |- r. x+ }
摘自 it_security
5 k2 E, i- S/ \. |7 r1 }
$ U# T- t6 s5 Q; G) m, a
绕过waf的一个思路
! C$ x" D* y" l, X2 Z
* X+ L, l2 J/ {) C' o+ V' {* j; b
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2