千方百技第六期

本文主要结合近期TCSEC安全研究院绕过某rasp和waf的经验，分享绕过waf的思路。MySQL测试版本（8.0.31）。

对于构造闭合，主要是判断一个sql注入能否利用的第一步。只有闭合成功，才能在添加我们自己想执行的sql函数或者语句。

MySQL主要存在以下两种方式

'#'--+

一个是逃逸字符，一般为单双引号（某些复杂的sql可能还需要括号等来进行闭合），数字型的注入不需要逃逸字符；第二个是注释字符，用来闭合后面的原始字符。如图所示，选择的字符是输入，对前面的的单引号进行了闭合，对后面的单引号进行了注释。

关键代码

闭合构造完成之后如果存在一些拦截规则，常规的注入语句是无法获取到数据的，包括sqlmap等，这时就需要进行手工注入。

下面正式介绍分享绕waf的一种思路。

我们研究院把这种可直接在后面紧跟着执行函数的字符称为连接字符，如下：关键代码'sleep(1)# -- 执行失败 '-sleep(1)# -- 执行成功

执行失败：

执行成功：在这里减号就充当了一个连接字符，后面紧跟着跟着一个函数，并可正常执行该函数，从而最终去执行我们想要执行的SQL函数。

以下是总结的一些连接字符：& > >= < !=