平台
BUUCTF ctf 的一个在线测试平台:点我进入CTF在线测试平台
题目
在平台生成在线测试页面后,我进入之后看到的页面如下图
解题
猜想1
看到页面上有登陆的按钮,猜测是不是存在sql注入,点击登录,输入万能账号或者密码 1’ or ‘1’='1 之后提示密码错误,且没有报错信息提示。那么该猜测应该是不存在的。
猜想2
页面上的热点有三个链接可以点击,尝试点击后发现页面的跳转是根据id的传入来变化的,猜想这个点也可以进行sql注入。
初次尝试
入参:id=1
返回值:{ "title": "测试新闻1", "content": "哈哈哈哈" }
入参:id=-1
返回值 {}
入参:id=1 order by 2
返回值:{ "title": "测试新闻1", "content": "哈哈哈哈" }
从上面的三次测试中可以得知 当查询到有数据的时候,请