非法字符绕过

注入的时候遇到image.png

  • 绕过空格(注释符/ /,%a0)
    两个空格代替一个空格,用Tab代替空格,%a0=空格,使用浮点数image.png
  • 括号绕过空格
    如果空格被过滤,括号没有被过滤,可以用括号绕过。
    在MySQL中,括号是用来包围子查询的。因此,任何可以计算出结果的语句,都可以用括号包围起来。而括号的两端,可以没有多余的空格。
    image.png

  • 引号绕过(使用十六进制)
    会使用到引号的地方一般是在最后的where子句中。如下面的一条sql语句,这条语句就是一个简单的用来查选得到users表中所有字段的一条语句


    select column_name from information_schema.tables where table_name=”users”
    十六进制:select column_name from information_schema.tables where table_name=0x7573657273

  • 逗号绕过(使用from或者offset)
    在使用盲注的时候,需要使用到substr(),mid(),limit。这些子句方法都需要使用到逗号。对于substr()和mid()这两个方法可以使用from to的
    select substr(database() from 1 for 1);
    select mid(database() from 1 for 1);
  • 比较符号(<>)绕过(过滤了<>:sqlmap盲注经常使用<>,使用between的脚本)
    使用greatest()、least():(前者返回最大值,后者返回最小值)
    同样是在使用盲注的时候,在使用二分查找的时候需要使用到比较操作符来进行查找。如果无法使用比较操作符,那么就需要使用到greatest来进行绕过了。
    最常见的一个盲注的sql语句:
    select from users where id=1 and ascii(substr(database(),0,1))>64
    此时如果比较操作符被过滤,上面的盲注语句则无法使用,那么就可以使用greatest来代替比较操作符了。greatest(n1,n2,n3,…)函数返回输入参数(n1,n2,n3,…)的最大值。
    那么上面的这条sql语句可以使用greatest变为如下的子句:
    select     from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64
    使用between and:
    between a and b:返回a,b之间的数据,不包含b
  • or and xor not绕过
    and=&& or=|| xor=| not=!
  • 绕过注释符号(#,–(后面跟一个空格))过滤
    id=1’ union select 1,2,3||’1
    最后的or ‘1闭合查询语句的最后的单引号,或者:
    id=1’ union select 1,2,’3
  • =绕过
    使用like 、rlike 、regexp 或者 使用< 或者 >
  • 绕过union,select,where等
    使用注释符绕过
    使用大小写绕过
    内联注释绕过双关键字绕过(若删除掉第一个匹配的union就能绕过)
  • 通用绕过(编码)
    如URLEncode编码,ASCII,HEX,unicode编码绕过
    or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)
  • 宽字节注入
    过滤 ’ 的时候往往利用的思路是将 ’ 转换为 ’ 。
    在 mysql 中使用 GBK 编码的时候,会认为两个字符为一个汉字,一般有两种思路:
    • (1)%df 吃掉 \ 具体的方法是 urlencode(’) = %5c%27,我们在 %5c%27 前面添加 %df ,形成 %df%5c%27 ,而 mysql 在 GBK 编码方式的时候会将两个字节当做一个汉字,%df%5c 就是一个汉字,%27 作为一个单独的(’)符号在外面:image.png
    • 将 ’ 中的 \ 过滤掉,例如可以构造 %** %5c%5c%27 ,后面的 %5c 会被前面的 %5c 注释掉image.png
  • 多参数请求拆分
    对于多个参数拼接到同一条SQL语句中的情况,可以将注入语句分割插入。
    例如请求URL时,GET参数格式如下:
    a=[input1]&b=[input2]
    将GET的参数a和参数b拼接到SQL语句中,SQL语句如下所示。
    and a=[input1] and b=[input2]
  • HTTP参数污染
    HTTP参数污染是指当同一个参数出现多次,不同的中间件会解析为不同的结果。具体如下图所示:(以参数color=red&color=blue为例)。image.png
    可见,IIS比较容易利用,可以直接分割带逗号的SQL语句。在其余的中间件中,如果WAF只检测了通参数名中的第一个或最后一个,并且中间件的特性正好取与WAF相反的参数,则可成功绕过。下面以IIS为例,一般的SQL注入语句如下所示:
    Inject=union select 1,2,3,4
  • 寻找网站源IP
    对于具有云WAF防护的网站,只要找到网站的IP地址,通过IP访问网站,就可以绕过云WAF检测。
    常见的寻找网站IP的方法
    • 寻找网站的历史解析记录
    • 多个不同区域ping网站,查看IP解析的结果
    • 找网站的二级域名、NS、MX记录等对应的IP
    • 订阅网站邮件,查看邮件发送方的IP
  • 注入参数到cookie中
    某些程序员在代码中使用sql注入绕过研究 - 图7_REQUEST会依次从GET/POST/cookie中获取参数,如果WAF只检测了GET/POST而没有检测cookie,则可以将注入语句放入cookie中进行绕过