某医院sql注入实战

某医院sql注入实战

今日放假，于是就上网看看能不能碰碰运气挖个洞
进入某人民医院网站

随便打开个医院动态看看

可以看见他的url长这样，看上去没有任何问题，就是在访问网站内的文件那样。
我尝试修改一下url，让他报个404看看能不能把cms版本爆出来

(这里把5去掉了)
然后神奇的事情发生了

这里并没有被404，而是被302跳转到了一个错误页

他报了一个语法错误，看一下url，发现多了个传参，那就直接丢个引号吧

爆多了一个引号，那就直接— 注释啦

芜湖，云waf！

区区waf而已，用祖传的绕waf方法绕它

绕过了，从下面错误页可以判断出这是个mssql，那就注入吧
用语句union//select//all先试试会不会墙

被墙也是意料之中，waf要是连这基本的语句都拦不下来靠什么吃饭。

试试带括号的函数能不能绕

墙了。猜测应该是正则写了墙execute(xxxxxx),那就在括号前加注释绕过正则匹配

发现可以，那就直接上祖传payload

情理之中，毕竟select给过滤了，convert()目测也给过滤了。

那就变一下payload吧，拼接法试试

绕过了，但是提示有语法错误，为什么呢

灰常简单的道理，因为那个url把+号当成空格了，这就是为什么平常+号能绕空格。所以这里+必须要用url编码，不然不能发挥本意。

上payload

年轻人点到为止，已提交漏洞盒子1