oxo1 前言

祖传开头！！！开局一张图、内容全靠编

每次看到上图、网站仿佛如下图回复你的响应。

oxo2 Bypass

昨天的配方、今天的味道

先输入错的 Payload 可以看到不拦

输入正确的 就会被拦截

经过手工测试、发现对第2个逗号有点敏感、用内联注释看看、可以看到不拦了

获取当前库的用户名看看、可以看到、但是不是完整的

输入获取完整的Payload看看、又被拦了、应该是逗号搞的鬼

这时候你应该知道要怎么做了吧、成功获取当前库用户名

猜测安全狗拦截2个逗号、因为正常的语句是有2个逗号的、用内联注释逗号就可以绕过了

利用昨天的内联注释Payload也可以哦

还有这样的

这样的

oxo3 参考

• https://github.com/aleenzz/MYSQL_SQL_BYPASS_WIKI/