注入测试两则

0x01 mysql注入突破php的pdo(order by字段)

遇到个注入点

传入单引号

0x002 遇见PDO

0x003 尝试突破

和之前正常的响应包时间截然不同(这里的sleep会根据数据库里的条目进行叠加，所以慎用，否则就会跑崩数据库)

0x004 成功注入

0x02 mysql奇怪的注入(拼接表名后缀、过滤select、where)

0x001 背景

表名为test_product，所以有product这个值

0x003 常规思路对抗第二个例子注入

使用刚刚第一个例子成功过的payload在第二个注入点进行尝试

有过滤，select、where过滤掉了

语句猜测为

使用正常的报错语句也不行

本地试了，必须前面接where id = 'x'字段，这里不满足

0x004 误打误撞出数据

后续在尝试的时候，出了用户名与数据库

出库名，可以随意输入一个不存在的表名，库名就出来了，原因在于这里是拼接在表名的，所以会查询表名，当表名不存在，就会报数据库的错误，库名就出来了，cxxxxxxx为库名

也有另外的办法，如之前的文章《sql注入杂谈》中提到过的

使用数据库中含有的字段进行报错数据库名、表名

出用户名

这里是误打误撞弄出来的，id这个表实际不存在的，报的是没有权限的错

尝试了很久，过滤的绕过，注释符，双写等等，都不行

0x005 继续深入

进入正题，误打误撞不是我们的目的，在思考，如果想要直接去注入出数据，有没有办法

可能有人会说注释后面where条件外加自己的where不就行了，两个原因直接限制了

1.where会被过滤

2.sql语句会出现update

这种情况没有遇到过，初步判断是"变形金刚"，就是俺也不知道这咋回事

后续自己尝试了很久，也是对sql语句的不熟悉导致的

最后请教了董神，董神nb！

对于select语句因为加注释符变成update，解释是

给出的payload：

news是表名后缀

使用布尔进行注入，实际情况下exp(710)改成updatexml()、extractvalue()也是可以进行报错注入的

这里最重要的一个知识点就是join on中的on

利用这一点，就可以进行注入

本地尝试

user()的第一位为r，ascii码为114

这里information_schema.tables也可以更换为mysql.user，mysql默认存在的都可以，但是前提是用户有查询权限

后面问了红哥，红哥给出的payload也和这个一样，红哥也nb！

唯一不同的是没有注释符，本地尝试也是可以的：

true

false

0x03 总结：

1.对于注入，如果能猜解出原来的语句，在本地进行执行，会对成功注入有很大的帮助。

2.注入可控不仅仅局限于查询的条件字段，也出现在任何有可能拼接的地方，比如这里的表名字段。

3.当常规思路无法满足需要的时候，需要去了解一些小众函数与技巧，比如这里的join on，且on和where可以互相替换，就完美避开了where的过滤。

4.站在开发者的角度去思考问题，问题有时会很容易想通，比如这里的select、update的"变形金刚"问题。

由于笔者知识及水平有限，文中错漏之处在所难免，欢迎交流。