基础题目一:SQL注入
通过分析题目,发现这道题为一种文章发布系统的SQL系统题,随机点击页面没有发现任何可以进行注入的点,唯一有一个登录和注册页面,且都需要进行登录,因此随便注册一个账号
通过分析代码过滤规则,题目会对--+、-- 、#等进行过滤,因此需要采用编码方式或者其他方式进行绕过。开始观看题目没有思绪,就随机进行留言发表
发布完后,发现页面显示会显示成功连个字,并在代码过滤规则下面单独生成一串代码,显示题目进行insert操作,其中“123”为输入的文章标题内容,“12345”是输入的文章内容,“12345admin12345"为登录的用户名。且点击文章之后出现了我们输入的内容,因此注入点显示为”文章标题“与”文章内容“两个部分。通过分析代码发现可以采用内容结合方式进行注入:
发现文章进行注入成功,且成功显示出来了2和3两个数字