Lab 13

CTF Sql Injection

1. Giới thiệu
Tại bài lab này sẽ thực hiện một số bài CTF liên quan về SQL injection
tương tự như các bài lab trước
2. Các bước thực hiện

Tạo Account thực hiện 3 bài đầu tiên ở mục Sql Injection: 

https://ringzer0ctf.com/challenges

Login portal 1

(https://ringzer0ctf.com/challenges/3 )

ACL rulezzz the world

(https://ringzer0ctf.com/challenges/2 )

Login portal 2

(https://ringzer0ctf.com/challenges/4 )
Part 1: Login portal 1

Ở phần này không có gì quá khó ta chỉ cần thử một số payload là có thể
tìm ra được FLAG. Thử sd: admin’ or 2>1 or’

Và kết quả ta sẽ nhận được FLAG như ở hình dưới.

Part 2. ACL rulezzz the world

Ở phần này ta tìm cách hiện thị ra toàn bộ list username trong db

Đầu tiên ta vào xem source code của bài như hình phía dưới. Và
tìm vào phần List user
Ở đây ta có thể thấy được 3 options user mà ta có thể lựa chọn
phía trên. Chọn vào admin và edit lại source code:

admin’ or ‘2’>’1
Sau đó kéo lên trên chọn thử vào user admin và click vào List ta sẽ
thấy được toàn bộ users trong những user đó ta có thể thấy được
một số user chưa flag, lấy flag đó và nộp.

Part 3: Login portal 2