看着这个简单的界面,一时间没有特别好的思路,先输入一个1',发生了报错
初步猜测这是一个字符型的注入,他将我们输入的语句直接当成sql语句执行了,按题目的意思后面肯定过滤了很多注入语句,我就先来尝试一些基本的语句
难道把union select都给过滤了?一阵绝望后接着试,试了好多后完全没思路
接着大概就是传说中的运气吧
这两个现象让我猜测过滤的是两个空格以及空格中间的字符串,绕过空格有好多方法:+,/**/,%0a,这里我用/**/代替空格构造一个查询语句:
拿到数据库,接下来就是常规的注入语句,具体可见之前写的注入关
嘿嘿,你以为是常规语句就能解决的,怕不是活在梦里
经过一番测试,table_schema都被和谐了,这还怎么玩,突然想到之前有个字符串拼接的方法赶紧来试试
好像并没有什么卵用,算了,去看wp吧。
后来发现原来要把limit以及后面的东西都给去掉,这个我实在是不知道原因,请知道的大佬招呼一声。
出现了flag表,继续注入
貌似column_name也被和谐了,确认之后确实是的,还是老方法绕过,发现还有东西被过滤,试了一试是information_schema.columns,再绕一次
flag就是我们想要的字段啊
太累了,但也学到了不少东西
简单的sql注入之2
瞎试一通后发现还是过滤了空格嘛,同样的手法还能连用两题的啊,继续深入
气死了,database()被过滤了,那就查所有的数据库
还是熟悉的配方,熟悉的web1,继续走
又让我找到了flag表,继续
最后一步
跟上一题一模一样,跟捡的一样。
简单的sql注入之3
一开始老套路先给个1'肯定是会报错的
先拿个基于时间的盲注语句试试水
返回了一个don't,尝试了语句中的每个指令,原来是sleep()被过滤了
突然想到了一开始看到的报错信息,那就再试试报错注入
又过滤了floor()函数,我就知道不会这么简单
经过1=1与1=2的对比,我猜测当后面的sql语句成功执行就会返回hello,否则就无回显。
这就跟基于时间的盲注一个原理么。原理猜到了,但由于对数据库命令并不熟,我还是去查看了wp。
原来这边除了上面这点还要利用一下报错:
?id=1' and (select count(*) from 表名)>0 %23
表名不存在时,报错
由此我们得知数据库名为web1,
接下里跑表的语句还是?id=1' and (select count(*) from 表名)>0 %23
这里因为我没有表名字典,所以也没啥可跑的,求表哥们赏我一份字典吧
只能简单的拿?id=1' and (select count(*) from flag)>0 %23测试一下,返回了hello说明flag表存在
猜列的手法如出一辙
?id=1'union select 列名 from flag %23可以拿个字段字典放burp里跑,我这里还是进行简单的测试
?id=1'union select flag from flag %23后返回了hello,说明存在flag列
接下来就是最重要的一步——猜字符
?id=1'and ascii(substr((select flag from flag),1,1))=ASCII%23原理就是这条语句
对ASCII码进行爆破,值从30到127
这里贴上我参考过的大佬的wp