less 23

報錯注入&過濾注釋符

這關背景查詢語句是select xxx form xxx where id='$_GET['id']' limit 0,1

講道理其實跟之前的差不多的，隻是對--，#這些注釋的符号進行了過濾

是以最後的payload就是

?id=-1' or extractvalue(1,concat('~',(select schema_name from information_schema.schemata limit 4,1),'~')) or '1'='1

id=-1搜不到，自然就會把報錯函數執行的東西放上去了

less 24

二階注入

這關其實跟17年的強網杯的題很像，但是有點不同的是這裡的資料庫限制了長度

一開始小殭屍電腦注冊了一個使用者名為1‘ and extractvalue(1,concat('~',database()))#的賬号，然後登入的時候就可以看到報錯回顯

然鵝...........什麼都沒有

去資料庫看了一下，發現由于長度的限制，隻寫進去了前面的一部分

emmmm，換個思路，改密碼提權

注冊一個admin#的使用者，然後登進去改密碼，結果網頁居然回顯you silly hacker？！

神奇，後來想了想可能是沒有閉合單引号，注冊多一個新的賬号，使用者名是admin'#，密碼111

登進去改密碼，改成111，這個時候就可以發現，admin的密碼已經變成了111了