盲注if被过滤怎么绕过?

　　盲注(Blind Injection)是一种常见的网络攻击技术，通常用于绕过输入验证，执行恶意代码或者获取敏感信息。盲注攻击通常是通过向输入字段中注入恶意代码，并根据应用程序的响应来判断注入的代码是否执行成功的。如果应用程序对输入进行了过滤，可能会增加攻击的难度，但并不意味着无法绕过。

　　以下是几种绕过盲注过滤的常见方法：

　　1.基于布尔盲注的绕过：

　　基于布尔盲注的攻击利用了应用程序在处理数据库查询时的不同响应，通过构造针对性的布尔表达式来判断查询结果。如果输入的注入代码被过滤了，可以尝试使用其他方式构造布尔表达式，如使用不同的操作符、绕过关键字过滤等。

　　2.时间盲注：

　　时间盲注是一种利用应用程序在执行查询时存在的时间延迟来判断注入代码执行结果的方法。即使输入的注入代码被过滤了，仍然可以通过观察查询的执行时间来推断查询是否成功执行，从而逐步推测出正确的注入代码。

　　3.错误消息盲注：

　　错误消息盲注是一种利用应用程序在处理错误时返回的信息来判断注入代码执行结果的方法。即使输入的注入代码被过滤了，仍然可以通过观察错误消息中的提示信息来推断查询是否成功执行，从而逐步推测出正确的注入代码。

　　4.绕过过滤器：

　　有时候应用程序会对输入进行过滤，例如禁止特定字符或关键字的使用。在这种情况下，可以尝试使用编码或者特殊字符来绕过过滤器，如URL编码、Unicode编码、HTML实体编码等。此外，还可以尝试使用不同的绕过技巧，如大小写转换、空格截断、注释符绕过等。

　　5.联合查询：

　　有时候可以通过联合查询(Union Query)来绕过盲注过滤。通过在注入点构造一个联合查询，将恶意代码与原始查询结果合并返回，从而绕过了输入过滤。

　　6.混淆注入：

　　混淆注入是一种通过改变注入代码的结构或语法来绕过过滤的方法。可以尝试使用一些常见的混淆技巧，如使用拼写错误、空格分隔、括号嵌套等，以使过滤器无法准确识别恶意代码。

　　总的来说，绕过盲注过滤需要具有一定的技术水平和创造力，需要不断尝试不同的方法和技巧，以找到绕过过滤器的有效途径。同时，也需要谨慎操作，避免对目标系统造成不必要的损害。