中国网络渗透测试联盟

标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破 [打印本页]
作者: admin    时间: 2013-2-23 12:41
标题: mysql注入对and or的过滤及uinon select等过滤的一个方法突破
1.and 用&& 代替8 W0 {5 I, }/ s
( b$ X! I! E. ^8 s0 w0 f, \
2. or 用||代替( r5 l. l5 Y9 y4 z' B: e+ f
# ]2 U, v; I' a+ J, `7 ]3 @
3.union select from 变成 /*!union*/这种。9 p$ ^, i+ i# B$ K* ?3 t

) u* w/ g! `. z一个例子:: H( P( S  a- H4 F' S
& i( D' f8 @# f4 i
/ select 1 /*!union*/ select 2 from adad where 1&&1# k4 h, q& R' l3 g

9 |+ X! t3 M- V! T3 {. ^5 Z摘自 it_security" g" z) f" E$ Y: ]- N9 x
2 o% P# L9 F0 A& s, i9 v" K/ |
绕过waf的一个思路1 r' F" m* `! @; B3 V" v' l

& h# V/ }/ O/ [. j1 @+ {! J' W/ k



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2