本文介绍了在SQL注入攻击中,如何利用>、<、ASCII函数、LIKE、REGEXP、BETWEEN等技巧以及编码绕过方法来避开过滤,实现对数据库的非预期访问。
目录
等号被过滤
substr、mid被过滤
逗号被过滤
and/or被过滤
常见的绕过方式
等号被过滤
1.使用>,<,<>
and ascii(substr(database(),1,1))>xxx
利用user函数得到用户名在通过substr函数截取看第一位的ascii码是否小于115
就这样一步一步的测,例子小于115成立小于114不成立很显然这个值ascii是等于114的,然后通过ascii码表查看即可
注意,这里<>,<,>是算术运算符,所以要用ascii转换一下,如果不用也可以用like进行比较
2,采用like,rlike语句
like有两个通配符%(匹配多个)和_(只能匹配一个)
于是可以通过一次一次的加下划线来测出长度
rlike(regexp正则)
“^”:以什么开头
“$”:以什么结尾
“.”:匹配单个字符
“*”:匹配前面的子表达式零次或多次。
可以通过“.”来判断是否到了最后一位
**
3.采用regexp,in,between
between是一个区间
substr、mid被过滤
采用locate,position,instr,lpad,rpad
Locate(str1,str2)返回str1字符串在str2里第一次出现的位置,没有返回0
Locate(str1,str2,pos)返回str1字符串在str2里pos(起始位置)出现的位置,没有返回0pos必须大于第一次出现的位置,才能显示第二次出现的位置
查看我的‘r’在user()的位置
后面的参数3不是说,后面找的时候第一参数变成1,只是说在这个字符串中,他会从第三位往后找,返回的还是原来字符串的位置,而且返回是子字符串第一个字符的位置
这里是返回字符“o”的位置
position(‘t’ in database())=1
返回str1字符串在str2出现的位置,没有返回0
注:它里面需要用in,没有逗号隔开
字母’r’在不在我的用户名中,也是返回第一个字母位置
没有起始值的参数,所以我们只能一个一个的判断
列如:判断了r存在且是第一个然后我们
ra看在不在,rb…等然后当我们找到了ro
然后oa继续找或则roa找
instr(str,子串)
查找一个字符串中子字符串第一次出现的位置,如果没有找到,则返回0(从1开始)跟position类似
LPAD和RPAD
Mysql数据库中用于字符串前面或者后面填充特定字符的函数
select lpad(user(),1,‘’)=‘r’;
select rpad(user(),1,‘’)=‘t’;
参数1的长度无法满足参数二的长度时,参数3才会执行,满足就输出参数1对应参数2的长度
列如;参数1有7位(1234567),参数2为1,满足则会输出1
逗号被过滤
1.采用%2C
数据库无法使用%2C,因为无法解析,所以这个过滤在浏览器中执行
2.采用from xx for xx,from(x)
and substr(database() from 2 for 1)=‘e’
提取从第几位开始,检索后面的字符
and/or被过滤
使用&&、||或则like
注:在mysql中 and与or 是可以用 &&和|相互代替的如:and 1=1->&&1=1
or 1=1 ->l1=1
不过在oracle中,||为拼接字符,如:‘a||b’->'ab’,相当于mysql中的concat()
like后面需要接判断函数,报错函数等
常见的绕过方式
关键字被过滤时
1.大小写绕过,如User(),dAtaBASE(),SelEct等
2.只过滤一次时,双重关键字绕过,如selselectect,ununionion,oorr等。
3.and/or+空格被替换为空时,andand+空格(oror+空格)绕过
4.注释符绕过,//,–,//,#**,–+,-- -,;,%00,–a,/* !*/
5.编码绕过:如URLEncode编码,ASCI,HEX,unicode编码绕过:等等…
前面5位数,不能超过你的版本号
扫一扫
1113
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
