sql的bypass

目录

等号被过滤
substr、mid被过滤
逗号被过滤
and/or被过滤
常见的绕过方式

等号被过滤

1.使用>,<,<>

and ascii(substr(database(),1,1))>xxx

利用user函数得到用户名在通过substr函数截取看第一位的ascii码是否小于115

就这样一步一步的测，例子小于115成立小于114不成立很显然这个值ascii是等于114的，然后通过ascii码表查看即可

注意，这里<>,<,>是算术运算符，所以要用ascii转换一下，如果不用也可以用like进行比较

2,采用like，rlike语句

like有两个通配符%(匹配多个)和_(只能匹配一个)
于是可以通过一次一次的加下划线来测出长度

rlike（regexp正则）
“^”：以什么开头
“$”：以什么结尾
“.”：匹配单个字符
“*”：匹配前面的子表达式零次或多次。

可以通过“.”来判断是否到了最后一位
**

3.采用regexp，in，between

between是一个区间

substr、mid被过滤

采用locate，position，instr，lpad，rpad
Locate(str1,str2）返回str1字符串在str2里第一次出现的位置，没有返回0
Locate(str1,str2,pos)返回str1字符串在str2里pos(起始位置)出现的位置，没有返回0pos必须大于第一次出现的位置，才能显示第二次出现的位置

查看我的‘r’在user()的位置

后面的参数3不是说，后面找的时候第一参数变成1，只是说在这个字符串中，他会从第三位往后找，返回的还是原来字符串的位置，而且返回是子字符串第一个字符的位置

这里是返回字符“o”的位置

position(‘t’ in database())=1

返回str1字符串在str2出现的位置，没有返回0
注：它里面需要用in，没有逗号隔开

字母’r’在不在我的用户名中,也是返回第一个字母位置
没有起始值的参数，所以我们只能一个一个的判断
列如：判断了r存在且是第一个然后我们
ra看在不在，rb…等然后当我们找到了ro
然后oa继续找或则roa找

instr（str，子串）

查找一个字符串中子字符串第一次出现的位置，如果没有找到，则返回0（从1开始）跟position类似

LPAD和RPAD

Mysql数据库中用于字符串前面或者后面填充特定字符的函数
select lpad（user(),1,‘’）=‘r’;
select rpad（user(),1,‘’）=‘t’;

参数1的长度无法满足参数二的长度时，参数3才会执行，满足就输出参数1对应参数2的长度
列如;参数1有7位（1234567），参数2为1，满足则会输出1

逗号被过滤

1.采用%2C
数据库无法使用%2C，因为无法解析，所以这个过滤在浏览器中执行
2.采用from xx for xx，from(x)
and substr(database() from 2 for 1)=‘e’


提取从第几位开始，检索后面的字符

and/or被过滤

使用&&、||或则like
注:在mysql中 and与or 是可以用 &&和|相互代替的如:and 1=1->&&1=1
or 1=1 ->l1=1
不过在oracle中，||为拼接字符，如:‘a||b’->'ab’，相当于mysql中的concat()
like后面需要接判断函数，报错函数等

常见的绕过方式

关键字被过滤时
1.大小写绕过，如User()，dAtaBASE()，SelEct等
2.只过滤一次时，双重关键字绕过，如selselectect，ununionion，oorr等。
3.and/or+空格被替换为空时，andand+空格(oror+空格)绕过
4.注释符绕过，//,–，//,#**,–+，-- -，;,%00,–a,/* !*/
5.编码绕过:如URLEncode编码，ASCI,HEX,unicode编码绕过:等等…

前面5位数，不能超过你的版本号

本人能力有限，此学习笔记仅为个人见解，如有错误，欢迎批评指正!