2.1.1、靶场第二关解题思路 — Sql Injection — 注入攻击原理-2

PPT已打包至附件！

Burp下载地址：http://bbs.zkaq.cn/?t/79.html

课程回放地址：https://ke.qq.com/course/275794?tuin=62e148

 通过页面连接：

http://120.203.13.111:8001/shownews.asp?id=171

 我们可以得知，是网站下的shownews.asp这个ASP动态网页文件，与数据库进行交互，并查询出了第171篇（id=171）新闻内容的值。

接下来我们尝试注入，用第一课学到的知识尝试输入字符拼接sql语句

http://120.203.13.111:8001/shownews.asp?id=171 order by 10

查询当前表是否有10个字段，页面返回正常，于是我们继续拼接order by，但把10改成11

http://120.203.13.111:8001/shownews.asp?id=171 order by 11

页面出现错误！返回数据库错误，证明此页面存在sql注入，也测试出此表拥有10个字段

我们继续拼接查询语句，通过from，看页面返回是否正常来猜测有没有admin这个表

http://120.203.13.111:8001/shownews.asp?id=171 union select 1,2,3,4,5,6,7,8,9,10 from admin

访问发现有注入防护，经测试只要url出现select（查询）关键字，就会被拦截。

我们尝试，将测试语句放到cookie里面，再发送给服务器，因为网页防护一般只拦截Get、post传参。

我们打开Chrome浏览器，这里用到了ModHeader插件（可点击这里或在附件下载）。

我们点击+号新增一个Request头。

我们添加一个Cookie头，并写值为id=171，并确保已开启（打勾）

我们直接访问

http://120.203.13.111:8001/shownews.asp

返回显示正常，

这证明cookie里的id=171，也能正常传参，被当作sql语句拼接。那我们直接进行注入。

我们输入Cookie值为：

id=171+union+select+1,2,3,4,5,6,7,8,9,10+from+admin

继续猜测是否存在admin表（+号代替空格，不然会出错）

发现页面回显了2、3、7、8、9。

没有出现数据库错误，这证明admin表是存在的。且第2、第3、7、8、9字段，可以用来猜测字段名，同时，可以直接回显在页面上。

我们接着尝试猜测最常见的管理表字段名Username和Password，我们在2、3、7、8、9中任选两个，分别填入Username和Password

比如2和3：

id=171+union+select+1,username,password,4,5,6,7,8,9,10+from+admin

接着刷新页面，发现页面返回了admin表中，username和password字段的值：admin、b9a2a2b5dffb918c

这应该就是管理员用户名和密码了，但管理员密码看起来有些奇怪。字母+数字的16位组合，很像md5的特征。

打开cmd5.com（解密站点）

将b9a2a2b5dffb918c进行解密。

发现密码的明文是welcome。

这个站貌似是南方的CMS，默认管理员后台是根目录的/admin/。

我们尝试打开后台：

http://120.203.13.111:8001/admin/

出现管理员登录页面，输入用户名admin、密码welcome，填写验证码。

                                成功登陆！到此，成功绕过防护注入得到密码，登陆后台拿到FLAG！

（chrome浏览器插件下载地址在附件，解压密码zkaq.org）