中国网络渗透测试联盟

标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破 [打印本页]
作者: admin    时间: 2013-2-23 12:41
标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替/ t9 M* u# i" ^3 s1 ?. r
' D4 c  p3 T, d2 X' e
2. or 用||代替
* n$ {" f& g/ D$ v! T- A' y: D( X
3.union select from 变成 /*!union*/这种。
1 S: h( M- D  P; J7 x: @$ `5 L" B1 H$ @5 i  ~  u6 P) g
一个例子:# Q: w- A1 V, a6 `6 }

5 |* N/ Q) d+ p$ K( i1 ~) g/ select 1 /*!union*/ select 2 from adad where 1&&1
: ?4 i( ?, ?* L; E9 Y1 f
% Q! f, ~9 Q5 g" k3 H' R* L+ c摘自 it_security
! O  n! X7 e4 o+ ~% H$ l* [; e/ H! d' R1 Y% g
绕过waf的一个思路
" S. f) W) R: f! n  q1 q' f, N* A3 c




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2