0x24bin's Blog

最近在学习代码审计，于是发现了这篇文章，然后转过来学习学习， 并稍加了修改 也不知道这位大哥转的谁的文章，也没有附上原文链接， 转发地址：https://blog.csdn.net/ncafei/article/details/62044552 简介： 本文将要揭示能用于现实CMSs和WAFs程序中的高级绕过技术和混淆技术， 文中所提到的SQL注入语句仅仅是一些绕过保护的方法， 另外本文所有内容仅可用于安全研究，如有其它不正当的行为，后果自负...

整理下关于SQL注入绕过的一些姿势。欢迎大牛补充 !^—^! 0x01 绕过waf思路 从第一步起，一点一点去分析，然后绕过。 过滤 and,or 1 2 3 preg_match('/(and|or)/i', $id) Filtered injection: 1 or 1 = 1 1 and 1 = 1 Bypassed injection: 1 || 1 = 1 1 && 1 = 1 过滤 and, or, union 1 2 3 preg_match('/(and|or|union)/i', $id) Filtered injection: union select user...