mysql 报错注入 技巧_Mysql注入小技巧方法

一、字符串截取函数

平时我们进行盲注时用substr()函数截取字符串，当substr()被过滤时，怎么办呢？我们可以用这些函数可以达到同样的效果

1.left(str, length)

从左边第length位开始截取字符串

用法：left(str, length)，即：left(被截取字符串， 截取长度)

SELECT LEFT('www.baidu.com',8)

结果为：www.baid

2.right(str,length)

从右边第length位开始截取字符串

用法：right(str, length)，即：left(被截取字符串， 截取长度)

SELECT RIGHT('www.baidu.com',8)

结果为：aidu.com

3.substring(str,index,len)

截取特定长度的字符串

用法：

substring(str, pos)，即：substring(被截取字符串， 从第几位开始截取)

substring(str, pos, length)，即：substring(被截取字符串，从第几位开始截取，截取长度)

(1).从字符串的第8个字符开始读取直至结束

SELECT SUBSTRING('www.baidu.com',8)

结果为：du.com

(2).从字符串的第8个字符开始，只取3个字符

SELECT SUBSTRING('www.baidu.com',8,3)

结果为：du.

4.mid(str,start,length)

截取str 从start开始,截取length的长度

mid()的用法等同于substr()这里就不多赘述了

5.substring_index(str, delim, count)

按关键字进行读取

用法：substring_index(str, delim, count)，即：substring_index(被截取字符串，关键字，关键字出现的次数)

(1).截取第二个“.”之前的所有字符

SELECT SUBSTRING_INDEX('www.baidu.com', '.', 2);

结果：www.baidu

2.截取倒数第二个“.”之后的所有字符

SELECT SUBSTRING_INDEX('www.baidu.com', '.', -2);

结果：baidu.com

3.如果关键字不存在，则返回整个字符串

SELECT SUBSTRING_INDEX('www.baidu.com', 'zkaq', 1);

结果: www.baidu.com

substring_index()可以在布尔盲注时使用，先随便截取一个不可能的值。那么页面肯定返回正常，如:

and substring_index(database(),'qwasda',1)=database()'

6.Locate(substr,str)

返回字符串的位置

用法1：LOCATE(substr,str)返回字符串substr中第一次出现str的位置

例：返回字符串“d”自一次出现的位置

SELECT locate("d",'www.baidu.com');

结果：8

用法2：

LOCATE(substr,str,pos)返回substr 在字符串str，从pos处开始的第一次出现的位置

例：从字符串”pan.baidu.com”的第三位开始计算，返回字符“a”第一次出现的位置

SELECT locate("a",'pan.baidu.com',3);

结果：6

locate()还可以判断字符串长度

select locate('m','m123456m',15);

7.instr (substr,str)

返回字符串的位置等同于locate()，但语法相反

用法：instr(substr,str)返回字符串substr中第一次出现str的位置

例：返回字符串“d”自一次出现的位置

SELECT instr('www.baidu.com',"d");

结果：8

8.position (substr IN str)

position (substr IN str)的效果与instr()，locate()相同，但语法不同

用法：POSITION(substr IN str) 返回字符串substr中第一次出现str的位置与LOCATE(substr,str)的结果相同

例：返回字符串“d”自一次出现的位置

SELECT position("d"in'www.baidu.com');

结果：8

9.strcmp()

若所有的字符串均相同，则返回STRCMP()，若根据当前分类次序，第一个参数小于第二个，则返回-1，其它情况返回1

用法：

mysql>SELECT STRCMP(12345,123456);

->-1

mysql>SELECT STRCMP(1234567,123456);

->1

mysql>SELECT STRCMP(123456,123456);

->0

二、替代逻辑运算符

我们在注入时，用的最多的是什么？在测试是否有注入点时，经常会用到and 1=1, 如果and、等于号”=”等这些逻辑运算符被过滤无法使用时，我们是不是就此放弃了，这时候我们可以用一些特殊的符号替代

1.替代and

当and被过滤时，可以用”&&”替代

Index.php?id = 1 and 1=1等同于Index.php?id = 1 && 1=1

2.替代or

当or被过滤时，可以用”||”替代

Index.php?id = 1.1 or 1=1等同于Index.php?id = 1.1 || 1=1

3.替代异或运算符”^”

当异或运算符”^”被过滤时，可以用”XOR”替代

select 1=1 XOR 1=1等同于select 1=1 ^ 1=1

4.替代等于号”=”

等于号”=”被过滤时，可以用多种方法替代

(1)Between：//在什么与什么之间

select database() between 0x61 and 0x7a;

(2)in：// mysql中in常用于where表达式中，其作用是查询某个范围内的数据

SELECT * FROM user WHERE uid IN (2,3,5)

(3)Like //模糊查询，也可以当等于号用

Index.php?id = 1.1 or 1 like 1等同于Index.php?id = 1.1 or1 like 1

(4)使用正则代替等于号

SELECT ‘Hern’ REGEXP ‘[0-9]’;

Rlike === regexp

REGEXP等同于RLIKE

5.替代逗号”,”

union select 1,2,3 => union select * from (select 1)a join (select 2)b join (select 3)c;

6.替代空格

%20 %09 %0a %0b %0c %0d %a0 /**/ tab/

%a0 这个不会被php的\s进行匹配

/*!/ 内敛注释

# 这个也可以用来做分隔 挺有意思

7.替代NULL

\N => null

select *from duomi_admin where id=\N

三、一些小技巧

1.替代sleep()

BENCHMARK(100000,SHA1(‘1’)), 1

BENCHMARK函数是指执行某函数的次数，次数多时能够达到与sleep函数相同的效果

2.函数名和括号之间可以加入特殊字符

concat/**/()

version()

3.花式报错注入

Floor()

Updatexml() //5.1.5以上才能使用

Extractvalue() //5.1.5以上才能使用

Exp() //5.5.5后可以用

Name_const

geometrycollection()，multipoint()，Polygon(),multipolygon()，linestring()，multilinestring() 几何函数报错

4.替代ascii

Hex()

Bin()

Ord()