Redtiger解题技巧(一)

(写这个博客本意就是为了自我总结,然后顺便试试新买的键盘。博主本人其实也就是个菜鸟,所以希望前辈们多多指导)
第一关:
根据提示,username=Hornoxe,给了Tablename: level1_users
ok。我们先查看源码(看源码是我个人习惯,因为常常能在源码里发现意想不到的东西)
Redtiger解题技巧(一)_第1张图片会发现一个有意思的东西:?cat=1
ok。返回答题关,构造语句 http://redtiger.labs.overthewire.org/level1.php/?cat=1
页面变化了:
Redtiger解题技巧(一)_第2张图片说明可以注入。
继续拼接语句and 1=1
发现:
Redtiger解题技巧(一)_第3张图片正常的。再把and 1=1改成and 1=2,结果:
Redtiger解题技巧(一)_第4张图片显示不存在。
ok。接着order by判断,结果在order by 4正常,order by 5错误,那么就是四位。(这里要注意,将上一步的1=2改回1=1,否则order没反应)
Redtiger解题技巧(一)_第5张图片知道了位数,下一步判断回显点。
构造语句http://redtiger.labs.overthewire.org/level1.php/?cat=1%20and%201=1%20union%20select%201,2,3,4
显示:
Redtiger解题技巧(一)_第6张图片在3 4 处。
最后,根据提示的Tabale_name构造union select 1,2,username,password from level1_users
结果:
Redtiger解题技巧(一)_第7张图片Bingo!
这里顺便提一嘴,初次做redtiger的,可能跟博主一样傻傻的以为第二关就是这样:
在这里插入图片描述然后怎么做都没反应(滑稽脸)
后来才突然反应过来,
在这里插入图片描述这个东西是有用的(笑哭)
后续关卡还会有。

你可能感兴趣的:(Redtiger解题技巧(一))