中国网络渗透测试联盟

标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破 [打印本页]
作者: admin    时间: 2013-2-23 12:41
标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替: f7 A- G' v5 f/ L

2 f% ?6 `: Z0 C, i: [5 B2. or 用||代替
- q; F0 H$ [" |: x2 h% V: l7 {
$ ?7 {6 N( l* T  g3.union select from 变成 /*!union*/这种。  y" n$ h. g' A+ M+ Y8 Q4 P1 H; k
" Y9 s# M$ [# ]) k! D  ^0 H/ J
一个例子:7 w) X/ b2 l) x, u( V) {5 C2 G# t5 F4 n

% {# Q% Z( E- v8 H! z8 k1 |/ select 1 /*!union*/ select 2 from adad where 1&&1
8 d/ S) v$ U, q* ~9 p
, _! R% z" L# M- V6 V9 U  N摘自 it_security5 E/ ~  w& y$ R3 w) i

& c/ a" s+ G! H绕过waf的一个思路
; l* N/ E) S, p, h5 q5 j1 ^8 w' c; ]. f+ R6 }




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2