之前的1到4都是get提交的联合注入,因为回显会把数据库的内容显出来,所以可以用union来联合查找。
在经过尝试,order by 和 union select 1,2.... 会发现一直都是显示you are in这样的字段(如果有结果的话),没结果什么也不显示。这样我们就不可以用union select,因为并不会给我们回显有效消息。
这种情况应该使用子查询的方法,一些人叫盲注,还是以子查询理解比较好,因为原理就是子查询这块出bug。
理解四个函数
count();
floor();
rand();
concat();
count()就不多说了,求个数的,并且我们可以不需要知道里面的参数。
floor()取整的。
rand()是0到1的随机数。
concat()是整合函数,例如concat('a','b'),输出就是ab。
首先说一下必要条件,必须要有错误回显,这样用这个就可以。
正常子查询:
select concat((select database()),floor(rand()*2))a from information_schema.schemata group by a;
有bug的子查询:
select count(*), concat((select database()),floor(rand()*2))a from information_schema.schemata group by a;
会有重复的group key出现,就a。这个很正常,因为上面的随机函数最后哦不是0就是1,但是加个聚合函数,就会报错,
而且会把a的信息报出来,我们就能根据这个信息进行查找。
上面输出是两列,可能有的查询只让输出一列或者什么原因,可以用以下的格式,
select 1 from (table_name); table_name 就是上面我们写的东西。
到现在我们就可以查出数据库名。但表可能有很多张,但子查询的结果只能为1,否则报错。(就是concat这个里面的查询)
尝试group_concat()函数,但是好像超长了,反正是不成功,依旧显示错误。
最后使用limit来一个一个显示,因为数量比较少,就手动了,最好是写个脚本。
这个不一定每次都成功,因为是随机数,所以多尝试,知道出现结果为止。
lesson6 是双引号注入,和5的手法一样。
有什么问题可以留言,大家一起探讨,一起进步。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
