也是經過一通掃瞄和測試,沒發現其他有用資訊,感覺這是個sql注入。其實對於二階sql注入我以前沒實踐過,也沒看過資料,只是知道這個名字,但不知道為何看到這道題就讓我回想起了這個名詞,所以查了一下二階sql注入的資料:二階sql注入。簡單來說,就是第一次構造的惡意資料直接儲存到了資料庫中,但在其他地方用到資料庫裡的資料來構造新的sql語句時沒有經過安全處理,便導致惡意語句被觸發了。
這道題有個很明顯的資料回顯就是註冊乙個使用者並登陸後會在主頁顯示註冊時所填寫的資料,所以我一開始的想法就是在註冊時填寫構造好的sql語句,然後再登陸檢視自己資訊,不就成功實現了注入攻擊。反覆測試,發現 what's up 處理並不得當,在此處填寫單引號時會顯示註冊失敗,這就說明,單引號未被轉義直接拼接到了原sql語句中導致了sql語句錯誤。
猜測註冊頁面的的sql語句應該是
insert其中的username和password應該是經過安全處理,單引號無法逃逸,而lucknum只能輸入數字,所以剩下whatsup可成為注入點,insert into 注入,但是出了點小意外,沒有成功,暫時放一放...into users(username,password,lucknum,whatsup) values('','',1,'')
幾經折騰,終於把目光放在了這個luckynum上面。可能會疑惑luckynum只接受數字,怎麼能構造sql語句呢,其實是可以用字串的16進製制來表示的,例如
所以先在luckynum處構造乙個單引號看看結果驗證一下猜想
看到user info裡面什麼也沒有,說明後台在查詢我這個leixiao002使用者時,sql語句是錯誤的,所以沒有查到任何資訊。
梳理一下邏輯
1.使用者註冊賬號,填寫密碼及其他資訊這麼看來並沒有lucknum什麼事,大不了顯示出來lucknum就是乙個單引號而已,為什麼lucknum為單引號就出錯呢,重新推測下處理邏輯如下,雖然我感覺不合理,但這應該是出題人故意留下的漏洞,全靠直覺...有錯望指正。insert into users(username,password,lucknum,whatsup) values('leixiao002','1',0x27,'1')
2.使用者用賬號密碼嘗試登陸,後台用賬號密碼執行sql查詢
select * from users where username='leixiao002' and password='1'
3.查詢到資料就進入登入介面並顯示該使用者資訊
//顯示username,luckynum,whatsup
1.使用者註冊賬號,填寫密碼及其他資訊看到4的sql語句最後面多了乙個',所以出錯。insert into users(username,password,lucknum,whatsup) values('leixiao002','1',0x27,'1')
2.使用者用賬號密碼嘗試登陸,後台用賬號密碼執行sql查詢,正確就進入登入介面
select * from users where username='leixiao002' and password='1'
3.查詢到資料luckynum的內容
lucknum='
4.再次執行查詢
select * from users where username='leixiao002' and password='1' and luckynum='''
5.如果4的語句正確就顯示使用者資訊
依據4的語句,接著構造出
爆出了資料庫名
接著再註冊幾個賬號,逐步構造以下語句就可
第八屆極客大挑戰 Web iPhone X
題目 解題思路 第一次看到html裡只有字其他啥也沒有的題,一臉懵逼,學長提示抓包改包,於是開始我的苦逼解題。0x01 抓包 0x02 改包 由於題目說只有iphonex才能接受這個website,所以聯想到要將user agent改為iphone的版本。如圖,好不容易找到iphone的user a...
極客大挑戰2019的 服務端檢測系統
這道題沒做出來,看來writeup之後發現是因為自己基礎知識不足。這裡補一下。http頭的格式 請求方法 路徑 http 版本 頭欄位 值 比如 get index.php http 1.1 host 127.0.0.1 http頭部的各個字段之間用crlf r n 0d 0a 分割http請求頭 ...
第九屆藍橋盃國賽 第二天的第11屆acm省賽的總結
25號坐的去北京的火車,10個小時的火車,然後擠了快兩個小時的地鐵,最終達到了中國礦業大學旁邊的訂的房間。12個小時很難受,暈車症狀有點嚴重,吃了快4顆暈車藥,到賓館還是很暈,就睡了。暈車這塊,我們都自信過分了,很影響狀態。我們學校晉級省一的名額不多,大多數人都沒有去,只有我和z去了,z很想去北京看...