SQL注入-安全狗超大数据包绕过

这里演示的是安全狗apache3.5.12048版本超大数据包绕过，后面还会分享4.0版本的一些教程，教程难免有纰漏，请各位谅解

测试版本：apache3.5.12048版本

0x01 测试条件

1. 这个是get请求的，要求对方可以接收post请求，也就是说对方应该是REQUEST接收方式。
2. 测试所使用的靶场为sqli-labs靶场
3. 需要对sql注入的流程清楚，如果基础只是比较薄弱的同学，请移步到以下链接地址进行学习sqli-labs

https://space.bilibili.com/29903122

1. 在发送请求的时候，要将bp的请求方式修改为post型

1. 将安全狗的cc防攻击功能关闭，放置在测试中因为请求次数过多被ban

0x02 代码

截图：4位字母从991开始就可以绕过了

991基础版：

crow * 4

当然，这里可以将crow换成任意的4个普通字符（最好不要特殊字符）

0x03 手动测试

继续测试：

group_concat(concat_ws(0x7e,username,password)) from security.users --+

成功

0x05 对应视频

微信在线观看(腾讯视频上传的视频好像不可以上传作为一个系列的教程)：

01_sql注入之安全狗超大数据包bypass

02_sql注入之安全狗超大数据包bypass

03_sql注入之安全狗超大数据包bypass

B站地址：

https://www.bilibili.com/video/BV1JK4y1P7cC/

0x04 后话

1. 视频中相关代码和安装包请后台回复 绕过 索取

大约一周之后，代码也会上传至GitHub

地址：https://github.com/crow821/crowsec

2. 针对waf的sql注入的教程中，如果对基础知识需要加强的，可以到

https://space.bilibili.com/29903122

自行学习，所有的课件资料都在GitHub上可以下载到