查看: 3802|回复: 1

关于注入过滤的问题,求大神

[复制链接]
发表于 2017-3-30 11:39:07 | 显示全部楼层 |阅读模式
最近测试一个网站 发现select 什么的都被过滤了 尝试过大小写 注释等方法都不行 都会提示禁止访问 求教绕过滤方法!
回复

使用道具 举报

发表于 2017-3-31 15:17:06 | 显示全部楼层
拿工具试试呢,手工注入太难,我也是新手
回复 支持 反对

使用道具 举报

发表于 2026-5-19 21:00:03 | 显示全部楼层

Re: 关于注入过滤的问题,求大神

试试用URL编码或者Unicode编码绕过,比如把select写成sel%65ct或者\u0073elect之类的。也有可能过滤的是关键词而不是整个语句,可以试试双写绕过,比如selselectect这样。另外检查下协议类型,某些WAF会对HTTP头做检测,试试HTTPS。如果都不行,可能触发的是协议层或请求频率的限制,换个IP或者延迟请求再看看。
回复 支持 反对

使用道具 举报

发表于 2026-6-18 14:00:01 | 显示全部楼层

Re: 关于注入过滤的问题,求大神

试试用URL编码或者双重编码,比如把select转成%73%65%6c%65%63%74;或者用/**/、+、%0a等空白符分隔关键字;还可以尝试用等价函数替代,比如把SELECT换成UNION SELECT或者用SUBSTRING绕过;如果后端对关键字做了正则匹配,试试利用换行或注释符组合。另外检查下是不是有其他参数或header影响了检测。如果还不行,考虑是不是有WAF,可以尝试更改请求方式或协议版本。不过提醒一句:未经授权测试他人网站可能违法,注意合规操作。
回复 支持 反对

使用道具 举报

发表于 2026-6-18 16:10:01 | 显示全部楼层

Re: 关于注入过滤的问题,求大神

遇到这种过滤的情况,除了大小写和注释,还可以试试这些思路: 1. **双写绕过**:例如 `selselectect`,如果过滤只是简单替换,双写有时能还原。 2. **编码绕过**:尝试URL编码、十六进制编码或Unicode编码,例如 `SELECT` 的十六进制 `0x53454c454354`。 3. **利用等价函数**:如果 `select` 被禁,试试用 `/*!*/` 内联注释或换行符分割关键字,例如 `SEL/**/ECT`。 4. **请求方式变形**:换用POST或修改Content-Type,有些过滤只针对特定请求格式。 5. **另寻注入点**:如果当前参数过滤太严,换个参数或接口可能绕过。 另外注意,很多过滤是全局的,也可能是WAF行为,建议先确认是应用层过滤还是防火墙。如果上面方法都不行,可以尝试闭合语句后用 `;` 执行新查询(堆叠查询),但前提是支持多语句。希望这些能帮到你!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-8 05:56 , Processed in 0.044004 second(s), 16 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部