中国网络渗透测试联盟

标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破 [打印本页]

作者: admin    时间: 2013-2-23 12:41
标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替4 _3 A- |, H* c' x8 V1 ~3 x* h+ n

7 @9 _: F1 ^7 k2. or 用||代替
: }3 x/ I+ M& i. G9 r1 K7 n8 d1 Z8 Q% ^& Y3 l& J) g9 Z( }/ O
3.union select from 变成 /*!union*/这种。
; J5 Z$ \& {) ?2 S/ Z: V5 a0 E8 g6 Z" @" z  K8 Z, h
一个例子:
+ @0 l3 R  P& k- Y4 H
* J) t, h! F  t3 \2 k" l, i/ select 1 /*!union*/ select 2 from adad where 1&&1, f9 A/ A/ E6 N  G0 L: I0 x" z
$ v/ j1 q2 M: N0 O
摘自 it_security9 l: u4 r% i( M9 ]+ i& k4 k
4 B/ A; k& a2 U+ @
绕过waf的一个思路) C8 o( R' p& m- H  Z

5 `1 j* A: t. z$ }8 R* y% l' w3 U0 F




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2