私はCTFをプレイしてSQLインジェクション(およびそもそもSQL)を学んでいます。私はsqlmap
を使用しており、これまでのところターゲットIPが見つかりました。
使用:MySQL, PHP
2つのデータベース:
information_schema
users
ユーザーデータベースの1つのテーブル:
user
user
データベースにusers
テーブルをダンプすると、次のようになります。
+------------------------------+----------+
| name | username |
+------------------------------+----------+
| YouWillNeverCrakThisPassword | nochance |
| Jack Bob | jack |
| Bill Sims | bill |
| Bob Browne | Bob |
+------------------------------+----------+
しかし、私が解読するためのパスワードハッシュはありません。チュートリアルでは、私がこれに従ってきたのはハッシュがあった場所です。
パスワードのハッシュがどこにあるか考えていますか?彼らはどこかにいる必要がありますか?スキーマについてはあまり知りませんが、そこには何も表示されませんでした。
あなたが探しているactualuser
table(注:単数形)はmysql
dbではなくusers
db(注:複数)。あなたが参照しているusers
databaseはおそらくあなた(またはDVWA、)またはあなたが実践しているもの 作成した)。 MYSQLユーザー(およびハッシュ)が必要な場合は、データベースエンジンの構成テーブル(具体的にはuser
)にアクセスする必要があります。
[〜#〜]参照[〜#〜]
https://dev.mysql.com/doc/refman/5.5/en/password-hashing.html