[转]绕过360,安全狗,D盾等进行Sql注入
作者:Bypass
0x01 前言
在测试过程中,经常会遇到一些主机防护软件,对这方面做了一些尝试,可成功bypass了GET和POST的注入防御,分享一下姿势。
0x02 环境搭建
Windows Server 2003+phpStudy
sql注入点测试代码:
在测试过程中,经常会遇到一些主机防护软件,对这方面做了一些尝试,可成功bypass了GET和POST的注入防御,分享一下姿势。
Windows Server 2003+phpStudy
sql注入点测试代码:
思路:就是利用mysql的一个日志文件。这个日志文件每执行一个sql语句就会将其执行的保存。我们将这个日志文件重命名为我们的shell.php然后执行一条sql带一句话木马的命令。然后执行菜刀连接之!
要先把general log设置为ON
在小密圈提了个问题,“如何编写一个不使用数字和字母的webshell”,并具体成如下代码:1
2
3
4
if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) {
eval($_GET['shell']);
}
那么,这个代码如何利用?