sql二次注入实战--2018年网顶杯

网址:BUUCTF在线评测 (buuoj.cn)

当我们进入后显示这个页面:

当我们第一次点击发帖的时候就会跳转到登陆页面,上面有提示,告诉我们账号为zhangwei,密码为zhangwei***:

这里我们可以使用bp抓包工具来进行暴力破解密码:bp工具的基本使用大家可以上网查一下。

使用bp的intruder模块进行简单的密码暴力破解,最终破解出的密码为zhangwei666

之后使用该密码进行登陆:

对网站进行观察:该网站存在发帖和留言的功能。

我们需要对该网站的源码进行分析,这里还隐藏了一个.git的文件泄露,我们可以使用githacker工具获取源码。可以去github上面去选择一个来使用:

最后我们得到的源码为:

//write_do.php

<?php

include "mysql.php";

session_start();

if($_SESSION'login' != 'yes'){

header("Location: ./login.php");

die();

}

if(isset($_GET'do')){

switch ($_GET'do')

{

case 'write':

category = addslashes(_POST'category');

title = addslashes(_POST'title');

content = addslashes(_POST'content');

$sql = "insert into board

set category = '$category',

title = '$title',

content = '$content'";

result = mysql_query(sql);

header("Location: ./index.php");

break;

case 'comment':

bo_id = addslashes(_POST'bo_id');

sql = "select category from board where id='bo_id'";

result = mysql_query(sql);

num = mysql_num_rows(result);

if($num>0){

category = mysql_fetch_array(result)'category';

content = addslashes(_POST'content');

$sql = "insert into comment

set category = '$category', ',content= user(),/*

content = '$content',

bo_id = '$bo_id'";

result = mysql_query(sql);

}

header("Location: ./comment.php?id=$bo_id");

break;

default:

header("Location: ./index.php");

}

}

else{

header("Location: ./index.php");

}

?>

找注入点:

对源代码进行分析,当我们发帖的的时候,执行的动作为write;

当我们对帖子进行留言的时候就会执行comment动作。

在执行write动作的时候,我们发现这里使用了addslashes函数对我们的输入进行了过滤,该函数具有转义的作用,但是在数据入库的时候,mysql会将转义符过滤存入数据库中。

当执行comment动作(留言)的时候,它会从数据库中直接将category值取出来使用而没有进行过滤,所以注入点就在这里。

构建payload:

复制代码
insert into comment
       set category = ' dd',content=user(),/*',
           content = '*/#',
           bo_id = '$bo_id'";

第一步:在发帖功能中构建payload

第二步:

进入新建的帖子中,进行留言。

提交之后我们就可以发现注入出了当前用户:

到此我们就成功的找到了该网站的注入点,我们只需要利用该注入点进行下一步注入即可。为典型的二次注入。

相关推荐
阿里云大数据AI技术6 小时前
Hologres AI Function 文本分类实战:从提示词设计到 KV-Cache 调优,全程 SQL 搞定
人工智能·sql
白帽小丑7 小时前
# 一次 MySQL DELETE 误操作的数据恢复尝试实录
数据库·mysql
Quincy_Freak9 小时前
信创内网数据规范实践:银河麒麟下SQLite本地数据安全管理方案
数据库·sqlite·arm·数据库管理·大数据分析·银河麒麟·aarch64
2601_9626838911 小时前
治理遗留系统中的“生肉 SQL”:一次用多模型协作优化慢查询的实战复盘
数据库·人工智能·sql
机智的张尼玛11 小时前
我基于 Kotlin Multiplatform 实现了一套跨平台的弱网离线同步引擎
android·开源·kotlin
酱学编程12 小时前
【从零到一实现一个 AI Agent 框架 · 第四篇】04. 任务规划:拆解复杂目标 -
服务器·网络·数据库·人工智能
shushangyun_13 小时前
2026智能采购商城系统选型指南:如何引领企业数字化采购升级
java·大数据·数据库·人工智能·机器学习
dexi.Chi 攻城狮13 小时前
SQL层次查询语法
经验分享·笔记·sql
华山令狐虫14 小时前
DBAPI AI 写 SQL:支持动态 SQL 与参数占位符,自然语言一键生成
数据库·人工智能·sql·dbapi
IvorySQL14 小时前
PG 技术日报|2026-07-04
数据库·人工智能·postgresql·开源