SQL注入1

1、手注

手注第一步

先判断闭合类型

发现在id=1与id=2-1时，回显不同，说明不是数字型闭合

再试试字符型

发现当我们输入id=1a时，回显与id=1相同

初步判断为字符型

再看看是单引号还是双引号，分别试下id=1'和id=1"

可以看到在我们双引号闭合时正常显示，在单引号闭合时就无回显，即报错(屏蔽了报错提示

说明为单引号闭合

接下来爆字段数

?id=1' order by 1 --+

?id=1' order by 2 --+

......

在?id=1' order by 4 --+时无回显

判断字段数为3

开始爆库名、表名、字段名

得到库名note

group_concat(table_name)联合查询表名

information_schema.tables数据库中对应的表

table_schema表的上层数据库

爆出 fl4g 和 note

group_concat(column_name)联合查询字段名

information_schema.columns数据库中对应的表

table_name=想查询的表

SQL2

先随便提交一些东西

可以看到

为POST请求，传输数据为

name=admin&pass=password

打开slqmap，默认跑就行了

跑完之后可以看到

数据库名字为note

由于是POST，爆起来不太方便，把刚才的HTTP请求复制粘贴做一个文件1.txt

使用-r来

sqlmap -u 后面接网站链接，最好用双引号包裹  -r则是后加文件名

由于已知库名，直接走

sqlmap -r 1.txt -D note --tables --batch

出个fl4g

sqlmap -r 1.txt -D note -T fl4g --columns --batch

得到flag字段

sqlmap -r 1.txt -D note -T fl4g -C flag --dump --batch

得到flag

信息搜集1

拿dirsearch扫一下

扫出来几个敏感目录，flag拆成了三份，分别访问一下

robots.txt

index.php~

/.index.php.swp

就可以

最后一个有点费眼睛，还要恢复一下

vim -r index.php.swp

信息搜集2

直接访问.git/config

如果有文件返回，通过githack即可解出，不过我找了好多方法都下不到githack(er)，先放着，等找到解决办法再改