中国网络渗透测试联盟

标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破 [打印本页]
作者: admin    时间: 2013-2-23 12:41
标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替9 L2 B1 G# S1 h! W3 n9 O
) @! A) B. Y0 ^" |: I! m1 e! d8 f: _
2. or 用||代替
. C7 m- k- X0 ]3 y; a8 a3 E: V( u5 X  f/ _( ~7 y% S3 d/ z
3.union select from 变成 /*!union*/这种。- o5 r4 A4 K7 {, m1 E  H& a. k
  \1 n2 l6 @* [- W; Q" h3 a
一个例子:( I" i  I9 ~; ~  ~

0 V2 k! U  D3 `5 I4 v  w/ select 1 /*!union*/ select 2 from adad where 1&&1/ D* z, m1 W) {4 D
4 H( T3 d+ c* v) R
摘自 it_security& B0 K' I( E: y: B+ J

$ v: n/ W" B4 k' {4 i绕过waf的一个思路) f- n* n7 j+ B' I9 n/ z+ M, G

! l& B/ G7 {+ T3 x% c  \



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2