中国网络渗透测试联盟

标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破 [打印本页]
作者: admin    时间: 2013-2-23 12:41
标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替  R$ J0 f! f5 H; Q' E
( f  p2 G( ~1 w4 b! w2 i: H
2. or 用||代替9 ]$ }3 @: z% `

+ D' e+ B& J& c. v+ v3.union select from 变成 /*!union*/这种。
& P2 b4 c8 X4 V1 X6 ^. P3 {3 }
: O' k" U5 _" d' _一个例子:
8 ^2 |* W; m! I
! P; m" F: c2 N% ~/ select 1 /*!union*/ select 2 from adad where 1&&1
4 W* \) @1 w9 E+ F8 W6 n
7 [3 t+ a9 }) q" n2 [, k, y摘自 it_security
7 w; h' h! T0 y# G! [6 Q& {$ l. M. a* H0 V$ V
绕过waf的一个思路- x& H, E0 \# p* k
% x( K9 Y% k% d  b" d( r




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2