中国网络渗透测试联盟

标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破 [打印本页]

作者: admin    时间: 2013-2-23 12:41
标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替
. t% V' ]; F5 G1 {" h7 {
4 |$ \( y1 X0 `/ b0 c; d2. or 用||代替# d: Y+ g( s* A" o

7 b) [8 O  r6 y. a- D! A7 {9 o5 P3.union select from 变成 /*!union*/这种。
: k7 t" x# z. Q
: o+ f6 D7 G' F% J! l2 G: c一个例子:
0 M9 b+ s" z8 z6 ~# G- r# L% B9 k4 {! P) @  E2 N9 C
/ select 1 /*!union*/ select 2 from adad where 1&&1
- M' ~# Q  M8 r' \. y/ C2 j9 N! M' e& U  |- r. x+ }
摘自 it_security5 k2 E, i- S/ \. |7 r1 }

$ U# T- t6 s5 Q; G) m, a绕过waf的一个思路! C$ x" D* y" l, X2 Z

* X+ L, l2 J/ {) C' o+ V' {* j; b




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2