[极客大挑战 2019]EasySQL1

最新推荐文章于 2023-10-16 19:41:08 发布
最新推荐文章于 2023-10-16 19:41:08 发布
阅读量268 收藏
点赞数 2
文章标签: 数据库 网络安全 web sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fightever_/article/details/132939578
版权

遇到登录页面我先试了一下admin

报错,但是仔细一看题目发现是SQL注入

那么既然是SQL注入的话就要试一下两个输入框,哪一个输入框可以被注入

分别试一下1,1',1"

输入1'时

数据库错误回显,说明用户名输入可以进行SQL注入

再试一下万能密码

1' or 1=1#

解释一下:1'是将前面的SQL语句闭合,然后因为1=1永远成立,而且前面的SQL与1=1用or连接,那么这条SQL语句就可以执行,当然#的作用是把后院的内容注释掉,比如后面原本会有'

再试一下密码框,发现两个输入框都可以进行注入(当然这一步画蛇添足了)

青梅煮酒与君饮
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[挑战 2019] EasySQL1
m0_63150097的博客
03-07 95
进入靶场: http://bf595771-c293-46f1-a5ca-3471fa3827f5.node4.buuoj.cn:81 看一下源码,找到注入点。 然后尝试万能密码,给username和password传参。 check.php?username=1'or 1=1%23&password=1 成功得到flag ...
CTF学习第十站——BUUCTF[挑战 2019]EasySQL1
qq_41174589的博客
10-09 146
确认输入的账号密码是否正确是访问数据库的过程,只要表达式的返回值为真则可以访问。如果输入的SQL语句有错,会出现如下界面。抓包后我们发现,该网页的请求方式为GET。尝试使用SQL万能密码,得到flag。根据题目名称,此题主要考SQL语句。尝试输入常见用户名密码并抓包。表达式1=1的返回值为真。
Buuctf-Web-[挑战 2019]EasySQL 1 题解及思路总结
m0_62239233的博客
09-16 7671
SQL注入。
Buuctf [挑战 2019]EasySQL1
qq_75120258的博客
10-16 74
万能密码就是绕过登录验证直接进入管理员后台的密码,这种类型的密码可以通用到很多存在此漏洞的网站,所以称之为万能。
BUUCTF[挑战 2019] EasySQL 1
m0_75178803的博客
06-12 3966
因为这道题是基于sql单引号的注入,我们构造万能密码,#在sql注入中是注释符。题目来源:BUUCTF [挑战 2019] EasySQL 1。用or连接,因为1=1恒真,假或真=真,真或真=真,所以这个语句恒成立。输入 1' union select 1,2,3。查看报错信息发现是基于单引号的注入。由一道题简单引出万能密码的知识点。这是查询数据库可能会用到的句型。只有当输入1’时,页面报错。直接在用户名或者密码区输入。只有当列名字段数为3时,
[挑战 2019]EasySQL 1
天天学安全专属博客
03-04 1210
[挑战 2019]EasySQL 1,暴力破击,弱口令,万能密码
buuctf[挑战 2019]EasySQL1解题思路
m0_73734159的博客
10-14 291
经过测试,发现username和password两个参数都可以分别注入和同时注入。可以看到是一个登录窗口,题目已经说了是SQL注入。首先试一下弱口令,admin,123。既然是第一道题,那应该是很简单了。回显报错,存在SQL字符型注入。判断是数字型还是字符型。
阿里云IoT创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 创新挑战赛》的分享,就挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典摇滚跑活动方案.pptx
05-06
2019年三诺集团四周年庆典摇滚跑活动方案
ISCC2019个人挑战赛题目练习
05-05
为了让大家能够拿到题目练习,增强网络安全技术和大赛经验的积累,可以下载这些题目来练习。解题思路在我的博
天池Apache Flink挑战赛-垃圾图片分类算法源码+项目说明.zip
最新发布
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink挑战赛-垃圾图片分类算法源码+项目说明.zip
学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 学院JAVA视频教程 新版 7大部分
[BUUCTF]挑战 2019EasySQL1 write up
GZWZ_的博客
03-25 3137
这道题很简单,就是想推一下万能密码,So浅写一下啦!
BUUCTF[挑战 2019]EasySQL1
weixin_53955759的博客
06-14 658
打开环境是一个登录页面
【BUUCTF】[挑战 2019]EasySQL 1
qq_45972928的博客
05-06 937
根据题目可知,这是大概率是一道SQL注入题 知识点——万能密码原理: 原本查询username = ’username‘,我们要尝试对引号进行闭合,所以当username=1’ or’1’='1时,id = '1’ or ‘1’=‘1’,成功闭合了两边的引号并加上了我们写的语句 1、进入网站 2、尝试登录 3、加单引号,双引号等方法粗略判断是否存在注入 4、可以看到存在注入点,而且这是大可能是一个单引号的字符型注入。尝试单引号相关的万能密码 username=1’ or ‘1’=‘1&

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值