手把手教你优化ADSL

http://127.0.0.1/injection/user.php?us ...  ord(mid(password,3,1))>111
http://127.0.0.1/injection/user.php?us ...  ord(mid(password,3,1))<113
http://127.0.0.1/injection/user.php?us ...  ord(mid(password,3,1))=112

这样我们就得出结果了，然后我们再用char()函数还原出来就好了。至于其他更多函数，大家可以自己去试验，限于篇幅也不多说了。

3、快速确定未知数据结构的字段及类型

如果不清楚数据结构，很难用UNION联合查询，这里我告诉大家一个小技巧，也是非常有用非常必要的技巧，充分发挥UNION的特性。
还是拿前面的show.php文件做例子，当我们看到形如xxx.php?id=xxx的URL的时候，如果要UNION，就要知道这个xxx.php查询的数据表的结构，我们可以这样提交来快速确定有多少个字段：

http://127.0.0.1/injection/show.php? ... on select 1,1,1

有多少个"1"就表示有多少个字段，可以慢慢试，如果字段数不相同，就肯定会出错，如果字段数猜对了，就肯定会返回正确的页面，字段数出来了，就开始判断数据类型，其实也很容易，随便用几个字母代替上面的1，但是由于magic_quotes_gpc打开，我们不能用引号，老办法，还是用char()函数， char(97)表示字母"a"，如下：

http://127.0.0.1/injection/show.php?id= ... sp;select char(97),char(97),char(97)

如果是字符串，那就会正常显示"a"，如果不是字符串或文本，也就是说是整形或布尔形，就会返回"0"，如图：

判断最主要靠什么？经验，我以前一直都说，经验很重要，丰富经验能更好的作出正确的判断，因为程序的代码是千变万化的，我们这里是只是举个最简单的例子，这里由于局限性，程序都是我自己写、自己测试的。方法因程序而异。希望大家在实战中，注意区别，不要照搬，灵活运用才是根本。

4、猜数据表名

在快速确定未知数据结构的字段及类型的基础上，我们又可以进一步的分析整个数据结构，那就是猜表名，其实使用UNION联合查询的时候，不管后面的查询怎么 "畸形"，只要没有语句上的问题，都会正确返回，也就是说，我们可以在上面的基础上，进一步猜到表名了，比如刚才我们提交：

http://127.0.0.1/injection/show.php ... on select 1,1,1

返回正常的内容，就说明这个文件查询的表内是存在3个字段的，然后我们在后面加入from table_name，也就是这样：

http://127.0.0.1/injection/show.php ... on select 1,1,1 from members
http://127.0.0.1/injection/show.php ... on select 1,1,1 from admin
http://127.0.0.1/injection/show.php ... on select 1,1,1 from user

如果这个表是存在的，那么同样会返回应该显示的内容，如果表不存在，当然就会出错了，所以我的思路是先获得有漏洞的文件所查询表的数据结构，确定结果后再进一步查询表，这个手工操作是没有效率的问题的，不到一分钟就可以查询到了，比如我们在测试www.***bai.net就是这样，后面的实例会涉及到。
但是有一个问题，由于很多情况下，很多程序的数据表都会有一个前缀，有这个前缀就可以让多个程序共用一个数据库。比如：

site_article
site_user
site_download
forum_user
forum_post
......

如果安全意识高的话，管理员会加个表名前缀，那猜解就很麻烦了，不过完全可以做一个表名列表来跑。这里就不多说了，后面会有一个具体的例子来解开一切迷茫^_^......

实例

下面对一个国内非常出名的站点进行善意的攻击测试，来对上面的知识进行一次大概的验证，出于影响等诸多因素，我们称这个站点为HB (www.***bai.net)，HB使用的是夜猫的文章系统和下载系统，不过文章系统已经升级了，我们就不看了，下载系统是绝对有问题的，不过由于我现在写文章的电脑不上网，我用相同的下载系统在本地进行一次模拟的测试。实际上，我事