[渗透实战]一次偶然的sql注入发现

一次偶然的sql注入的发现

  • 正常对一网站的常规检测(弱口令登入后台)

bo.png

  • 在班级管理点击查询处存在的返回值中存在一些有趣的地方

sql.png

可以清楚的看见以上返回的json数据中带有了一串sql语句(心想卧槽莫非这里会运行这条sql?)

  • 可惜经过测试,返回值就是返回值(在这里试注入是不现实的)

但是可圈可点的一项是此处我们可以得到这条sql语句,如下

select * from 'yxy_school' where (1=1) limit 0,20
  • 这个where比较有趣 后面跟的语句使用()括起来的(这里我们得知了一处重要的内容:这个系统采用的sql语句的风格)
  • 为什么要说sql语句的风格呢?

基于这条sql语句我们可以想象一下,该系统其它的查询语法
select * from 'school' where (school_id=1) limit 0,20

  • 若按常规sql注入判断

select * from 'school' where (school_id=1') limit 0,20
顶多判断出sql存在注入要是再想手注就有点困难了,但目前我已经得知sql语句的形式。可对语句进行以下调整
select * from 'school' where (school_id=1) order by 10--+) limit 0,20


  • ok 有了以上猜想就可以找一些查询接口来尝试注入了

bo1.png

  • 经过测试可以得知该网站存在8个字段,后续操作不再赘述。(另外sqlmap也可以跑出来)

bo2.png
bo02.png


备注:权限为phpstudy低配root权限,啥也干不了,无法getshell。

最后完结撒花。

Mucn

Mucn

不管,看了我的博客就得帮忙转载,快点转载一下哦!❤️✔️

1 Comments

  • 菜鸡中的菜鸡

    大师傅,这里为什么要在注视后面再加一个 ) 啊?大师傅这个注入点,不是查询部分的吗??怎么知道where后面会跟的参数啊??我看他的返回语句只是select * from 'yxy_school' where (1=1) limit 0,20 而已啊??

留下你的评论

快留下你的小秘密吧