中国网络渗透测试联盟

标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破 [打印本页]
作者: admin    时间: 2013-2-23 12:41
标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替: ?7 ~# d. V4 f

1 Y' ]7 ?+ O, e' J, Y2. or 用||代替
, I5 D6 L$ j9 E7 A1 S, v9 j5 d: v' f
3.union select from 变成 /*!union*/这种。
- |. V7 [1 S! F1 H  j6 Y/ y2 v4 f4 D$ B3 J  d
一个例子:- l% k- w* E* @+ Y1 L3 F
3 a: @5 z5 i# E8 H3 p  k
/ select 1 /*!union*/ select 2 from adad where 1&&1+ M8 l: C) S/ Z6 ?$ Z

: j/ a( N$ ^$ p) I7 ?& I8 g. Z# L摘自 it_security  q  H6 x" _* R& o
# s& k* [* \' V. V/ H0 P
绕过waf的一个思路8 r& d/ e4 L- c' t' j; z

7 M1 p1 c& _- c7 m' ~- r9 P$ _



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2