CTF之web这道题很简单

最新推荐文章于 2024-07-24 08:43:05 发布
最新推荐文章于 2024-07-24 08:43:05 发布
阅读量2.9k 收藏 5
点赞数
分类专栏: 网络安全 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lijia111111/article/details/54835187
版权
本文记录了一次CTF比赛中遇到的Web题目,通过输入特定字符引发错误,确认了SQL注入的存在。利用sqlmap工具进行渗透测试,逐步揭示数据库信息,最终找到正确的key值,展示了SQL注入的基本步骤和sqlmap的初步使用。
摘要由CSDN通过智能技术生成

网站名称:http://ctf5.shiyanbar.com/8/index.php?id=1
1、输入【’】报错,发现注入
2、输入【and 1=1】正常,输入【and 1=2】不正常,证明就是SQL注入
3、sqlmap进行SQL注入,这个可以通过linux虚拟机进行操作,也可以直接在windows操作系统中安装sqlmap进行操作,这个在我的博客里有相关介绍,博客地址:http://blog.csdn.net/lijia1111,安装好sqlmap后输入一下指令:
这里写图片描述

查看当前数据库:
sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1"
最低0.47元/天 解锁文章
Unitue_逆流
关注
专栏目录
ctf-web
weixin_43150428的博客
11-04 2781
ctf-web 信息搜集 认证绕过 SQL注入 文件上传 文件包含 PHP代码审计 信息搜集 源码泄露 页面源代码 敏感文件泄漏 备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_Stor
WEB-几道简单WEB
zippo1234的博客
11-03 1045
WEB-几道简单WEB几道简单WEB第一:extract变量覆盖1.目2.函数介绍3.变量覆盖漏洞4.构造payload第二:git泄露1.目2.扫描目录3.上工具(1)githack(2)git log查看历史记录(3)恢复现场4.get flag第三:is_numeric绕过1.目2.函数分析3.绕过4.payload5.get flag结语 每天一,只能多不能少 几道简单WEB 第一:extract变量覆盖 1.目 源代码: $flag='xxxx'; extract($
一个简单Web项目
Sagittarius1的博客
09-08 372
1.创建Web项目Demo 2.创建login.Jsp do_login.Jsp failure.Jsp success.Jsp页面 3.tomcat设置 演示效果
【网络安全渗透测试零基础入门必知必会】之CTF目解析Java代码审计中的反序列化漏洞,以及其他漏洞的组合利用5
最新发布
Libra1313的博客
07-24 1135
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段反序列化渗透与防御第5篇。本文主要讲解java反序列化漏洞比赛目解析本文基于一次内部小范围比赛目的复现,简单聊聊Java代码审计中的反序列化漏洞。近年来,工作中Java Web的项目越来越常见,并且逐渐取代了前几年php的辉煌地位。在众多Java WebShiroFastjsonJBossWebLogicStructs2等等。本文基于一次内部小范围比赛目的复现,简单聊聊Java代码审计中的反序列化漏洞,以及其他漏洞的组合利用。
一个简单web服务器
howie__的博客
03-05 693
这里写自定义目录标前言主函数配置文件功能快捷键合理的创建标,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 这只是一个菜鸟写出来的 简...
实验吧ctf-web:这个看起来有点简单
Elvira
08-22 7498
sql注入,sqlmap,union,information_schema
CTF Web学习笔记
01-11
### CTF Web学习笔记知识点详解 #### 杂项部分 **1. 隐写术** 隐写术是一种将信息隐藏于其他非秘密数据之中的技术,这种技术通常用于隐蔽通信或数据保护。在CTF竞赛中,经常出现的情况是将flag隐藏在图像、音频...
ctfweb型找到php后怎么做,CTFweb总结
weixin_39521009的博客
04-01 2729
身为一只web小白,但也刷了不少CTF方面的web,趁着今天有时间,坐下来总结一下关于web的解方法。0x01 直接查看源代码解方法:点击右键,查看页面源代码将hidden改为text,value=0改为value=1,点击Enter。出现下图:这段代码的意思就是,将我们传给PIN的值给a,如果a=-1982774773616112831283716166172777371616672727...
ctf攻防世界web方向,基础详解.1
weopenear的博客
04-24 641
在百度文库有 robots.txt 是搜索引擎中访问网站的时候要查看的第一个文件,一般而言 robots.txt 文件告诉蜘蛛软件在服务器上面什么文件是可以被查看的。第一: 这简单,在_获取在线场景_后,点开目网址,按住f12就可以查看网页源码,就可以容易看到flag,cv复制就可以获取flag。第二: robots协议,一般ctf比赛中,会遇到很多自己不太会,不太懂的协议,一般会在网上查询一些,如下图所示,按照百度文库查看robots.txt 文件。
CTF Web各种目的解姿势
07-27
课时6:CTF SQL基于约束注入原理与利用12'22 课时7:SQL注入基于时间注入的原理与利用50'13 课时8:SQL基于时间盲注的Python自动化解22'45 课时9:Sqlmap自动化注入工具介绍23'47 课时10:Sqlmap自动化注入...
CTF秀-WEB
m0_62670778的博客
12-27 884
php://input 可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行,当传入的参数作为文件名打开时,可以将参数设为php://input,同时post写入想要执行的php代码,php执行时会将post内容当作文件内容,从而导致任意代码执行。10、可以看到查询出的数据分别是:flag和user,开始查询指定数据表的数据列。9、可以看出查询出的数据库名是:web2,开始查询数据表。11、可以看到查询到的列名是:flag,开始查询数据信息。7、可以看出有3列,进行回显。
OJ.3157: 这是一道简单
越努力,越幸运!!!
06-17 1389
3157: 这是一道简单 Time Limit: 1 Sec  Memory Limit: 128 MB Submit: 139  Solved: 10 [Submit][Status][Web Board] Description 为了准备即将到来的考试,小欣每天都在努力练习。 考试开始了,总共有 n 道目。 对于第 i 道,小欣可以在 ti 分钟内做出来
这是一道见到的web
a1b2c3是弱口令
08-13 1286
代码如下: <?php echo "这是一道简单WEB"; $flag = "XXXXXXXXX"; if (isset($_GET['password'])) { if (strcmp($_GET['password'], $flag) == 0) die('Flag: '.$flag); else print 'Invali...
CTFWEB笔记
qq_51687381的博客
04-27 243
目录 [极客大挑战 2019]EasySQL1 [强网杯 2019]随便注 [极客大挑战 2019]Havefun [SUCTF 2019]EasySQL [极客大挑战 2019]EasySQL1 可见是一个sql注入,我们随意尝试字符型 此路可通 万能密码注入后得到flag。 [强网杯 2019]随便注 简单的尝试 报错了 用select 查找数据库 被ban了 用分号分隔命令查表 desc words后 能找到id的字...
CTF WEB练习
qq_45781155的博客
01-28 262
hctf_2018_warmup <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_s
CTFWEB基础篇
qq_53058639的博客
03-17 4192
简介JavaScript 是互联网上最流行的脚本语言,这门语言可用于 HTML 和 web,更可广泛用于服务器、PC、笔记本电脑、平板电脑和智能手机等设备。作用JavaScript 是脚本语言JavaScript 是一种轻量级的编程语言。JavaScript 是可插入 HTML 页面的编程代码。JavaScript 插入 HTML 页面后,可由所有的现代浏览器执行。JavaScript 很容易学习。
CTF(攻防世界)web 基础篇
xj28555的博客
06-28 6744
今天写的是攻防世界的CTF目类型是web新手篇,虽然很多博客上都有,但是我还是想用自己的方式在写一遍。好的直接步入正。 第一 点击进入目场景 在看目给出的提示教我们查看源代码,但是右键不管用了。因为我用的是谷歌浏览器,我们可以通过F12进入开发者进而查看源代码,或者Ctrl+U。 看到源代码后把flag填进指定区域即可 第二 目描述是关于robots协议,而robots协议是一个网站和爬虫之间的协议,在robots上你可以写上你网站不想被爬虫爬取的内容。大家也可以
CBC翻转攻击与实验吧CTF简单的登录
qq_39228620的博客
06-05 1373
CBC翻转攻击原理: 我认为,要更好更快的理解CBC翻转攻击,它的原理和必要的密码学知识是必不可少的。 所以我们从密文的加密与解密说起: 下图是 密文加密过程: vi:是用于随机化加密的比特块,用来保证即使对相同明文多次加密,也可以得到不同的密文。 key和加密函数:因为我们不需要用到它们,所以这里不解释,免得浪费大家时间。有想一探究竟的童鞋可以去学习AES加密。 我们文字描述一边流程,相信会好理...
ctfweb有什么技巧
04-05
作为AI语言模型,我并不会CTF,但以下是一些通用的技巧,可以帮助你在CTFWeb中取得成功: 1. 深入了解HTTP协议和Web应用程序的基础知识,包括Cookie、Session、HTTP请求头和响应头等。 2. 熟悉基本的Web漏洞,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值