WooYun.org

ps.这种类型厂商不知道提给谁，提给wooyun不被X吧
1：一般所有的waf在做sql防注入的时候都会对sql注入的union注入方式防的死死的，大致模型是这样的：

select id from table where x = 1 union select 1,2 from dual

各家对于此处的防范各有不同，但是防范的都很好。
2：在mysql里面有一个空白符为%a0,此符号为空白符。
3：但是%a0是扩展字符里面的，当%a0+另外一个字符，可能会在web层面解析的时候出现意想不到的结果。
4：手上有安全狗，拿安全狗测试了，首先关闭安全狗的服务，我们在url中输入以下url：

http://192.168.4.70/low.php?id=11' union%a0select version(),database() %23&Submit=a

首先我的id是一个字符类型注入的参数，此时我们去看下页面返回的结果

发现结果中出现了乱码，感觉我的%a0和s一起被解析成了乱码。但是在mysql层面去执行的时候%0a又被当做空白符执行了，显示出来了我的mysql的版本和数据库名称，感觉碉堡了。
5：这样一来解析出来的结果岂不是bypass掉了无论是waf也好，还是应用程序本身的正则也好。
6：我们开启安全狗试试，先输入%0a查看安全是不是好使的：

果然拦截了
7：此时将%0a换成%0a尝试一下：

可以看到安全狗没有反应，显示出来了数据库的信息，因此看来至少可以搞定狗了，这样的web解析感觉其他的waf很有可能也会有类似的问题。
ps.会不会被雷p啊