网站导航页面模板,网站推广公司认准乐云seo,胶南网站建设,南昌广告公司在测试一次注入的时候发现过滤了逗号 所以找到这个思路第一次遇到的时候是看key哥挖洞 遇到后就想记录下来正文过滤了逗号 利用join来逐步查询select*from(select 1)a join (select 2)b join (select 3)c;例如下图逐步查询user()user() basediruser() basedir version()也可以…在测试一次注入的时候发现过滤了逗号 所以找到这个思路第一次遇到的时候是看key哥挖洞 遇到后就想记录下来正文过滤了逗号 利用join来逐步查询select*from(select 1)a join (select 2)b join (select 3)c;例如下图逐步查询user()user() basediruser() basedir version()也可以和mid函数组合使用mysql报错信息利用方法是使用数学运算函数在子查询中报错比如exp函数(参考 EXP(X)), MySQL会把子查询的中间结果暴露出来。select exp(~(select*from(select user())a))可以看到子查询的结果出来了这样我们就得到了当前user()是rootlocalhost。exp(x)函数的作用取常数e的x次方其中e是自然对数的底。~x 是一个一元运算符将x按位取补。这条查询会出错是因为exp(x)的参数x过大超过了数值范围。分解到子查询就是1. (select*from(select user())a) 得到字符串 rootlocalhost2. 表达式’rootlocalhost’被转换为0按位取补之后得到一个非常的大数它是MySQL中最大的无符号整数3. exp无法计算e的18446744073709551615次方最终报错但是MySQL把前面 1) 中子查询的临时结果暴露出来了了解了MySQL的这个特点其实我们就还可以精心构造其他的一元运算符让MySQL查询在没有逗号的情况下报错比如select !(select*from(select user())x)-~0;原因如下select 1 – 18446744073709551615;这个例子是bigint超过数值范围手法类似。
