中国网络渗透测试联盟

标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破 [打印本页]
作者: admin    时间: 2013-2-23 12:41
标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替% x) ]0 L  B9 [8 k1 D

% m4 p2 M' K+ o$ b* @  Y) y  g3 m2. or 用||代替; s' ]+ h5 w* W% A& M* c& v. I3 L
* v" b/ d4 p/ I# p5 C
3.union select from 变成 /*!union*/这种。
9 O3 |, d6 _4 ]! @, \) i' y
7 B, S8 \" _3 \一个例子:
) H7 t: n: D1 t- r0 V
0 |/ e% X* k- ~) u8 l* n& `) h/ select 1 /*!union*/ select 2 from adad where 1&&1
$ R8 T: v; C$ Q/ |% O( Q& Z6 g$ A& O& g2 {- l) S$ w# Q8 F
摘自 it_security
9 Z: c' \! Q3 `4 P* }! A7 R2 ~
& A, A( m7 S6 h( t/ E1 C8 r' \绕过waf的一个思路
) T0 \7 X! T% Z7 n( J' R% {( h3 q9 m  ~& V( Y




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2