SQLi LABS Less-26

Posted 2021-09-06 士别三日wyx

第26关使用GET请求提交参数,我们可以直接在url地址栏中构造payload

源码中过滤了or,and,/*,#,--,空格,斜线,需要想办法绕过

 

 

 

过滤了注释(#,--),我们可以不用注释,使用单引号闭合,使SQL语法结构成立

过滤了空格,我们可以使用括号()来代替空格

在url地址栏中输入payload 1'anandd'1,正常显示;输入 1'anandd'0时,空显示;说明用户输入的参数可以使SQL恒成立或恒不成立从而影响SQL的执行结果,即存在注入,注入点为单引号字符型注入

源码中的SQL如下

 当我们输入1'anandd'1时,后端过滤掉and和空格后拼接的SQL是这样

and后面的'1'会转换为true,使SQL恒成立,可以正常查询处用户数据并显示到页面

 

当我们输入1'anandd'0时,后端过滤掉and和空格后,拼接的SQL是下面这样

 and后面的'0'会转化为false,使SQL恒不成立,SQL查询不到用户的数据,会在页面显示为空

 

确认了注入点后,我们就可以使用报错注入进行脱库了,由于源码中过滤了空格,需要将payload中的空格替换为括号()

1' aandnd(updatexml(1,concat(0x7e,
(select(group_concat(schema_name))from(infoorrmation_schema.schemata))
),1))aandnd'