[发明专利]一种绕过select关键字的sql注入方法有效
| 申请号: | 202010868320.4 | 申请日: | 2020-08-26 |
| 公开(公告)号: | CN112115466B | 公开(公告)日: | 2021-05-14 |
| 发明(设计)人: | 吴建亮;胡鹏;韩成海 | 申请(专利权)人: | 广州锦行网络科技有限公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55 |
| 代理公司: | 北京精金石知识产权代理有限公司 11470 | 代理人: | 杨兰兰 |
| 地址: | 510095 广东省广州*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 绕过 select 关键字 sql 注入 方法 | ||
1.一种绕过select关键字的sql注入方法,应用于安装有mysql 8.0以上版本的被攻击服务器,其特征在于,包括如下步骤:
判断被攻击代码是否过滤了select关键字,如果过滤了select关键字,采用如下方法进行sql注入:
利用union table语句在需要注入sql语句的表中注入sql语句;
所述利用union table语句在需要注入sql语句的表中注入sql语句包括:在被攻击代码中在仿写的VALUES语句后或在仿写的select语句后利用union table注入sql语句;
当利用union table语句在需要注入sql语句的表中注入sql语句后,如发现注入失败,则使用盲注的手法结合table语句进行注入,使用盲注的手法结合table语句进行注入时,根据数据库中表名和字段数逐行逐字符注入出表的内容。
2.根据权利要求1所述的绕过select关键字的sql注入方法,其特征在于,所述使用盲注的手法注入具体包括如下步骤:
猜测表中各行的内容;
按猜测的各行内容进行字符拆分;
按猜测字符顺序进行对比,逐步注入出表的数据。
3.根据权利要求1所述的绕过select关键字的sql注入方法,其特征在于,当未回显出期望获取的信息,判断为所述注入失败。
4.根据权利要求1所述的绕过select的sql注入方法,其特征在于,将union table进行正则表达的变换,以绕过拦截。
5.根据权利要求4所述的绕过select关键字的sql注入方法,其特征在于,所述将uniontable进行正则表达的变换包括:
将“union table”变换为“union tabletable”。
6.根据权利要求4所述的绕过select关键字的sql注入方法,其特征在于,所述将uniontable进行正则表达的变换:
将“union table”变换为“union Table”。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于广州锦行网络科技有限公司,未经广州锦行网络科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010868320.4/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种实现浓淡燃烧的火排、燃烧器及热水器
- 下一篇:一种果树种植用防鸟装置
