扫描网站目录,发现网站备份文件
![](https://i.loli.net/2021/09/03/3lq8QsJWCFtVHuo.png)
![](https://i.loli.net/2021/09/03/T9jUKGnNiBW8uC2.png)
通过信息收集,得到表名:users,字段 username,password,description
分析update.php源码,发现age参数存在整数型sql注入
![](https://i.loli.net/2021/09/03/voGmO8Mp3btrKZc.png)
进入网站,随便注册一个用户后,更新资料
用burp拦截后修改age参数,根据已有的信息构造payload:
(select group_concat(description) from(select * from users )a)
![](https://i.loli.net/2021/09/03/QxM5zNKXjtoYfsr.png)
提示修改成功
然后去个人资料页面,查看网页源码,得到flag
![](https://i.loli.net/2021/09/03/afAvXm7tRExj8UI.png)
Views: 461