CTFHub(1) SQL注入题目injection
现分享CTFHub上的一道SQL注入题目injection
方法:使用sqlmap进行注入
如下图,可见一个GET传参,可能为SQL注入。
进入sqlmap文件夹,使用sqlmap进行注入。
sqlmap运行结果如下
可知存在SQL注入漏洞,使用sqlmap爆出所有数据库
sqlmap运行结果如下
由于information_schema为系统数据库,可知当前数据库为ctfhub
然后使用sqlmap爆出ctfhub数据库中的表
sqlmap运行结果如下
我们猜想flag表中存在flag
所以使用sqlmap爆出flag库中所有的字段
sqlmap运行结果如下
可知flag库中只存在一个字段,即flag字段
然后使用sqlmap爆出flag字段中的内容
sqlmap运行结果如下
既得flag