高质量的安全文章,安全offer面试经验分享
尽在 # 掌控安全EDU #
一、字符串截取函数
平时我们进行盲注时用substr()函数截取字符串,当substr()被过滤时,怎么办呢?我们可以用这些函数可以达到同样的效果
1.left(str, length)
从左边第length位开始截取字符串用法:left(str, length),即:left(被截取字符串, 截取长度)
SELECT LEFT('www.baidu.com',8)
结果为:www.baid
2.right(str,length)
从右边第length位开始截取字符串用法:right(str, length),即:left(被截取字符串, 截取长度)SELECT RIGHT('www.baidu.com',8)结果为:aidu.com
3.substring(str,index,len)
截取特定长度的字符串用法:substring(str, pos),即:substring(被截取字符串,从第几位开始截取)substring(str, pos, length),即:substring(被截取字符串,从第几位开始截取,截取长度)
(1).从字符串的第8个字符开始读取直至结束
SELECT SUBSTRING('www.baidu.com',8)结果为:du.com
(2).从字符串的第8个字符开始,只取3个字符
SELECT SUBSTRING('www.baidu.com',8,3)结果为:du.
4.mid(str,start,length)
截取str 从start开始,截取length的长度mid()的用法等同于substr()这里就不多赘述了
5.substring_index(str, delim, count)
按关键字进行读取用法:substring_index(str, delim, count),即:substring_index(被截取字符串,关键字,关键字出现的次数)
(1).截取第二个“.”之前的所有字符
SELECT SUBSTRING_INDEX('www.baidu.com', '.', 2);结果:www.baidu
(2).截取倒数第二个“.”之后的所有字符
SELECT SUBSTRING_INDEX('www.baidu.com', '.', -2);结果:baidu.com3.如果关键字不存在,则返回整个字符串SELECT SUBSTRING_INDEX('www.baidu.com', 'zkaq', 1);结果: www.baidu.com
substring_index()可以在布尔盲注时使用,先随便截取一个不可能的值。那么页面肯定返回正常,如:and substring_index(database(),'qwasda',1)=database()'
6.Locate(substr,str)
返回字符串的位置用法1:
LOCATE(substr,str)返回字符串substr中第一次出现str的位置
例:返回字符串“d”自一次出现的位置SELECT locate("d",'www.baidu.com');结果:8
用法2:LOCATE(substr,str,pos)返回字符串substr中第一次出现str的位置,从第pos个位置开始例:从字符串”pan.baidu.com”的第三位开始计算,返回字符“a”第一次出现的位置SELECT locate("a",'pan.baidu.com',3);结果:6locate()还可以判断字符串长度select locate('m','m123456m',15);
7.instr (substr,str)
返回字符串的位置等同于locate(),但语法相反
用法:instr(substr,str)返回字符串substr中第一次出现str的位置例:返回字符串“d”自一次出现的位置SELECT instr('www.baidu.com',"d");结果:8
8.position (substr IN str)
position (substr IN str)的效果与instr(),locate()相同,但语法不同
用法:POSITION(substr IN str) 返回字符串substr中第一次出现str的位置与LOCATE(substr,str)的结果相同例:返回字符串“d”自一次出现的位置SELECT position("d"in'www.baidu.com');结果:8
9.strcmp()
若所有的字符串均相同,则返回STRCMP(),若根据当前分类次序,第一个参数小于第二个,则返回-1,其它情况返回1用法:
mysql> SELECT STRCMP(12345,123456);
-> -1
mysql> SELECT STRCMP(1234567,123456);
-> 1
mysql> SELECT STRCMP(123456,123456);
-> 0
二、替代逻辑运算符
我们在注入时,用的最多的是什么?在测试是否有注入点时,经常会用到and 1=1, 如果and、等于号”=”等这些逻辑运算符被过滤无法使用时,我们是不是就此放弃了,这时候我们可以用一些特殊的符号替代
1.替代and
当and被过滤时,可以用”&&”替代Index.php?id = 1 and 1=1等同于Index.php?id = 1 && 1=1
2.替代or
当or被过滤时,可以用”||”替代Index.php?id = 1.1 or 1=1等同于Index.php?id = 1.1 || 1=1
3.替代异或运算符”^”
当异或运算符”^”被过滤时,可以用”XOR”替代select 1=1 XOR 1=1等同于select 1=1 ^ 1=1
4.替代等于号”=”
等于号”=”被过滤时,可以用多种方法替代(1) Between://在什么与什么之间select database() between 0x61 and 0x7a;(2) in:// mysql中in常用于where表达式中,其作用是查询某个范围内的数据SELECT * FROM user WHERE uid IN (2,3,5)(3) Like //模糊查询,也可以当等于号用Index.php?id = 1.1 or 1 like 1等同于Index.php?id = 1.1 or1 like 1(4) 使用正则代替等于号SELECT ‘Hern’ REGEXP ‘[0-9]’;Rlike === regexpREGEXP等同于RLIKE
5.替代逗号”,”
union select 1,2,3 => union select * from (select 1)a join (select 2)b join (select 3)c;
6.替代空格
%20 %09 %0a %0b %0c %0d%a0/**/ tab/%a0 这个不会被php的\s进行匹配/*!/ 内敛注释# 这个也可以用来做分隔 挺有意思
7.替代NULL
\N => nullselect *from duomi_admin where id=\N
三、其他小技巧
1.替代sleep()
BENCHMARK(100000,SHA1(‘1’)), 1BENCHMARK函数是指执行某函数的次数,次数多时能够达到与sleep函数相同的效果
2.函数名和括号之间可以加入特殊字符
concat/**/()`version`()
3.花式报错注入
Floor()Updatexml() //5.1.5以上才能使用Extractvalue() //5.1.5以上才能使用Exp() //5.5.5后可以用Name_constgeometrycollection(),multipoint(),Polygon(),multipolygon(),linestring(),multilinestring() 几何函数报错
4.替代ascii
Hex()Bin()Ord()
回顾往期内容
扫码加助教老师
可领取免费的安全教程
还有免费的配套靶场、交流群哦!
点击在看~好文推荐大家一起看!👇
京公网安备 11010802041100号