论坛首页 > 技术文章投稿区 > 实战纪实

记一次思路新奇的绕WAF sql注入

sssaa · 发表于 2021-05-17 11:53:27 · 实战纪实

来到某高校网站，随便找了一个页面，看URL栏，发现有两个传参

![](https://nc0.cdn.zkaq.cn/md/9689/e3e269e0aebc8aff9c1cb8f44916ffd0_61816.png)
先试试分别给两个传参加入引号
第一个传参：

![](https://nc0.cdn.zkaq.cn/md/9689/a3cff5d1a91e83a36612cfc5e9807f09_37455.png)
发现报错弹窗，顺手测试了一下其他符号，发现都弹窗报错，这里过滤太过严密，于是放弃这个点，转手测试下一个传参

第二个传参：

![](https://nc0.cdn.zkaq.cn/md/9689/5cf351d22b1a1168c57fe7ceb4caedcb_34045.png)
发现报错，还直接把sql语句给爆出来了！看到发现有魔术引号
并可以通过观察语句发现这是个数字型的，可以尝试数字型注入
遇事不决，先or 1=1 （观察语句可以发现不用注释）

![](https://nc0.cdn.zkaq.cn/md/9689/a20e19a5c898a9fccf5fd1a5eee30b41_43135.png)
这里就非常尴尬了，页面打转,它估计是对什么语句做了过滤，只要你打了关键词触发了他的waf，他就直接给你die()  我这里直接就被链接重置了

接着，我想先试试有什么语句被过滤，于是顺手测了一下，手测出来有
‘union select’,
’substr(xxx)’,
’database()’,
’x=x’,
’version()’,
’@@version’,
’sleep()’
这就有点麻烦，关键语句都给过滤了，最变态的是如果检测到()内有值，他就直接重置链接。

找了找百度上的绕过滤方法，测了一下都不行，不过我发现一个他们用来绕空格的办法:**用/\*\*/可以绕过过滤了空格的网站。**这个网站并没有空格过滤，但是处于好奇心，我百度了一下/\*\*/是什么意思，一查，原来是注释，**而且还有查到一个用法/\*!\*/
  mysql为了保持兼容，它把一些特有的仅在mysql上用的语句放在/\*!....\*/中，这样这些语句如果在其他数据库中是不会被执行，但在mysql中它会执行。**

查到这里，我想了想，虽然我这个网站没有过滤空格，但我是不是可以利用这些注释，或者/\*!..\*/来绕过一些关键词呢?

在mysql数据库中执行了一下un/**/ion

![](https://nc0.cdn.zkaq.cn/md/9689/8aa818727ca0aabbbae71a2afdb1f42a_10963.png)
发现报错了，原因是因为/**/相当于一个空格，会把

用户名	金币	积分	时间	理由
ZKAQ-枫	6.00	0	2021-10-05 14:02:49	一个受益终生的帖子~~
Track-聂风	65.00	0	2021-05-21 20:08:43	继续加油

打赏我,让我更有动力~

2 条回复 | 直到 2021-10-5 | 1519 次浏览

Track-聂风
发表于 2021-5-21

最后还是内联注释绕过了，其实我记得可以 database/**/()

评论列表

加载数据中...

编写评论内容

ZKAQ-枫
发表于 2021-10-5

牛的兄弟，我用你的方法绕过了WAF，我就是database()被拦了

评论列表

加载数据中...

编写评论内容

登录后才可发表内容

记一次思路新奇的绕WAF sql注入

评论列表 默认排序 默认排序 最新回复

评论列表 默认排序 默认排序 最新回复

评论列表

评论列表