记bypass Mod_Security

起因

Google上搜索相关SQL注入，在测试中发现使用联合查询注入时会报错
`Not Acceptable! An appropriate representation of the requested resource 
could not be found on this server. This error was generated by Mod_Security.`，
使用order by 猜解显示位时不会报错

经过

懒得fuzz，直接Google搜索了相关bypass文章，文章中详细介绍了fuzz过程，直接修改payload
进行注入。

结果

结果当然是ok的了，成功注出数据库名和版本信息，后面操作大同小异，溜溜球！

payload

1

/*!12345UnIoN*//**/(/*!12345SEleCt*//**/ 1,2,3,4,5,6,7)--+

done

参考链接：https://y000o.medium.com/how-to-bypass-mod-security-waf-156e2315b8ad