下面这个sql问题,求大佬帮忙解答一下

来源:蜘蛛抓取(WebSpider) 时间:2022-06-08 00:50 标签: 意外的sql命令结尾

而后咱们更改一下上传路径而后用%00截断一下便可php

发现是会员的申请页面,而后构造payload

一开始觉得就是把ISecer:反序列化一下就完事了,可是死活试不出来…而后再看一下,发现这个$KEY是赋值在后面的,因此解析的时候应该是后解析的它,那么上面的反序列化就是空值???? 

看到后面没有回显,想到使用时间盲注,本地构造注入语句看是否能够成功(由于它原来是在insert中) 


而后写脚本爆破数据库 
这个原题在实验吧上面有,个人题解在这 

这里相似写个脚本便可,固然爆库爆表什么省略了,回味起来仍是挺经典的时间盲注的。

首先进入界面,F12发现了源码中有upload.php并且./upload/可读,猛一看像是文件上传,可是题目的提示是文件包含啊!并且在Network中找到了这个 


哪一个tip转义过来就是 include.php 那咱们就按照文件包含去尝试一下 
结果尝试了一堆方法光是返回NAIVE!!!….回归上传的思路吧… 
上传图片小马(事实上并无进行MIME检验,直接替换内容便可) 





猜想注入点在username中,可是过滤了哪些呢?试了十年也没弄出来…结果请教了大牛…这特么是个源码泄漏啊!!!.DS_Store典型的源码泄漏??? 
真是牛逼炸了,网上下载一个ds_store_exp.py工具,下载下来源码 


答案就在flag中…晕死…

过后用扫描工具扫描了一下,瞬间就发现了…气到爆炸…因此作web题目,好习惯就是无论它说啥!本身先扫一遍目录吧!!! 


首先看到了登陆的界面,通过提示是union,因此不会是万能密码,不看大佬的思路我确实没想到…用到的是猜想的登陆机制。。。构造


而后没有任何反映…我还觉得是我脑残了…原来又是题目炸了…晕死… 
隔了段时间继续 


固然了这个不只仅是命令行的连续执行问题,由于这个是没有回显的,因此既然咱们能够利用其中的shell了,那么咱们能够尝试反弹shell来着,这里真是学习了一波反弹shell的姿式,具体我补充到了我得文章中,谢谢pupil师傅的指导,我用的nc方法反弹shell,方法以下 
首先在服务器上用nc监听端口

而后就发现反弹shell成功了!!!以后就是任我行了

提示是盲注就很简单了,构造以下

存在注入,猜想是盲注,而后fuzz一发发现过滤空格,用括号绕过,过滤了=,用<>饶过,mysql测试 

 
 

 
 
 
 

 
 
 
 

 发现是报错注入,可是过滤了一些些·东西,最最重要的过滤了空格,可是咱们知道mysql的特性,用换行符代替就行啦!随手实验下!
 
 
 

 成功报错,而后这里要读文件,理所应当要使用load_file函数,可是我再本机和服务器怎么都配置不成功,而后抱着死马当作活马医的态度试了一下没出来,蛋疼了很久,通过大牛提示须要加上个hex才行???老子信了你的邪… 
因此说这里须要注意了!!!读取文件的时候最好加上hex 
payload以下
 
 
 

 而后还好啦,咱们知道extractvalue性质就是只能读取32位,通过hex后的也就是说每次最多获得有用的16位,而后怎么办? 
事实上这个是函数截断了,读取文件自己没什么问题,因此咱们不妨用strsub函数解决试试看!
 
 
 

 而后就是修改偏移逐渐恢复文件了!最后恢复文件以下
 
 
 

 获得flag,确实是好题!真的,flag形式是狗屎…
 
 
 
 

 听说是cbc字节反转攻击,这个以前一直没懂,小试牛刀一下 
首先扫描目录,发现文件泄露 

 



 下载了vim恢复一下便可获得
 
 
 

 明显的cbc字节反转攻击,并且是用了及其简单的CBC,由于咱们须要修改的明文在第二块上,只须要修改第一块的明文施加影响,而且修改IV值便可,这里放简单的CBC模式的AES加密图 

 
  



 
 
  
 

 
 
  
 

 咱们本身写个php获得实际指望获得的结构
 
 
  
 

 获得的序列化值16个一组以下
 
 
  
 

 咱们想修改第二组的N变成n,那么就要修改第一组对应的r,修改代码以下
 
 
  
 
  
 

 而后咱们获得cookie值以下
 
 
  
 

 而后咱们能够获得aes解密后的明文,固然这个时候的明文必定是错误的,不能反序列化的,咱们要利用这个假明文修改iv达到解密成功的效果 

 
  



 
 
  
 

 base64加密后的aes解密“明文”,而后咱们解码验证一下
 
 
  



 咱们看到翻转已经成功了,而后就是修改一下初始的IV值了!
 
 
  
 

 而后就获得flag了嗯…学习学习
 
 
  

  



                            

                                                    

                                

  

    其中编号为了方便使用id作为编号,实际运用中编号应该用特定的格式,以上语句中id设置为了主键,保证了编号的唯一性。
  

  

    第一条查询,查询某个学生的信息;该语句中使用了学号来查询学生的信息,也可改为其他条件。
  

  

    第二条:查询某个辅导员班级的学生成绩
  

  

    第三条:查询某个协会的学生,根据协会的名称查询
  

  

    由于没有画图工具,E-R图暂不画出。
  



                            

                                                

                    

                

            

            


            

                
我要回帖

                

                    

                        
                        
                    

                

            

            

                        

                
更多关于 意外的sql命令结尾 的文章

                

                    
                

            

                    

        

            

                
 

                


                

            

            

            

                
随机推荐