用cms做网站的缺点,深圳市建局官网,wordpress check_admin_referer,济南做网站价格随便输一个payload#xff0c;有waf 这题只有两个回显#xff0c;分别是太酷啦和nonono#xff0c;不显示报错、登录成功等各种信息#xff0c;目前只能想到用时间盲注。
抓包fuzz#xff0c;194都是被过滤的 不止这些#xff0c;手工测出来if、sleep、benchmark、*、rp…随便输一个payload有waf 这题只有两个回显分别是太酷啦和nonono不显示报错、登录成功等各种信息目前只能想到用时间盲注。
抓包fuzz194都是被过滤的 不止这些手工测出来if、sleep、benchmark、*、rpad、count也被过滤了。
测试注释符
?idif 显示nonono说明滤了
?id1#if 显示太酷啦说明不滤所以注释符是#说明注释符#可以用。
查看各种信息发现是php。 考虑到可能是长连接可以使用get_lock作为延时手段,并且这个没有被过滤。
经过验证无法使用get_lock作为延时手段。 认定了是时间盲注那就换一种延时方式。
过滤了*无法使用现成的笛卡尔积payload那就手搓。
过滤if那就用case when condition then 1 else 0 end语句代替 得到flag。 还有一种绕过if过滤的办法
1 and 判断字符语句 and 笛卡尔积延时#
这个的原理是and短路。因为and需要两边都为true才能为true。比如说 条件1 and 条件2如果条件1为true才会去判断条件2但是如果条件1为false就不会再去判断条件2了and直接返回false。
网上找的另外一个大佬Boogipop的盲注语句
时间盲注用笛卡尔积/index.php?id1orelt(12,(SELECTgroup_concat(1)FROMinformation_schema.columnsA,information_schema.columnsB))or2/index.php?id1orelt(32,(SELECTgroup_concat(1)FROMinformation_schema.columnsA,information_schema.columnsB))or2看了一下延时也是用了笛卡尔积。但是if用elt代替了。
这个elt函数非常的陌生网上的解释 ELT()函数是分值函数功能有点类似很多编程语言中的switch关键字。 语法 ELT(N,str1,str2,str3,…) 其中N是要判断的数值如果N1则返回str1如果N2则返回str2以此类推。 另外对不上的值返回Null比如N0或者N大于后面列表的长度。 (1条消息) Mysql的分段函数INTERVAL()和分值函数ELT()_sql分值函数_lkforce的博客-CSDN博客
由此看来elt确实能够代替if师傅牛逼
