NCTF-南邮网络攻防平台WriteUp:SQL注入1

最新推荐文章于 2024-01-07 09:50:28 发布
最新推荐文章于 2024-01-07 09:50:28 发布
阅读量1.3k 收藏
点赞数
分类专栏: 网络安全 文章标签: 网络安全 CTF 南邮
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nothwest__Green/article/details/79753087
版权

****************蒟蒻萌新拿一血****************

SQL注入1

传送门:http://chinalover.sinaapp.com/index.php

先看源码

划重点(敲黑板

题目要求输入user,password,我们要避开密码的验证,可以构造语句,在输入user的时候把后面的password用#注释掉。

输入 admin‘)# 

因为后面的语句被#注释了,要把源码原来的)补上。

这里flag就拿到了

1cePeak
关注
专栏目录
网络攻防技术——SQL注入
学习记录
02-27 3167
一、题目 SQL注入是一种代码注入技术,它利用web应用程序和数据库服务器之间接口中的漏洞。当用户的输入在发送到后端数据库服务器之前未在web应用程序中正确检查时,就会出现此漏洞。许多web应用程序从用户处获取输入,然后使用这些输入构造SQL查询,这样web应用程序就可以从数据库中获取信息。Web应用程序还使用SQL查询在数据库中存储信息。这些是web应用程序开发中的常见做法。如果未仔细构造SQL查询,则可能会出现SQL注入漏洞。SQL注入攻击是对web应用程序最常见的攻击之一。 在本实验室中,我们创建了一
NCTF 南京邮电大学网络攻防训练平台 WriteUp
热门推荐
4ct10n
08-02 8万+
NCTF 南京邮电大学网络攻防训练平台 WriteUp不说什么直接上题解WEB1.签到题(50)直接查看网页源码 Flag:nctf{flag_admiaanaaaaaaaaaaa}2.md5 collision(50)源码如下:<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ i
南邮ctf mysql_南邮CTF--SQL注入
weixin_28692867的博客
02-01 180
南邮CTF--SQL注入题题目:GBK SQL injection解析:1.判断注入点:加入单引号发现被反斜杠转移掉了,换一个,看清题目,GBK,接下来利用宽字节进行注入2.使用'%df' '进行注入,emm报错,于是加入老手段,and 1=1 %23,ok,没报错,说明成功3.继续改参数,1=2时,没有任何信息,找到注入点4.利用order by 查询列数,当查询2时,显示正常,那么查询3时,显...
SQL注入1(南邮CTF
LANVNAL的博客
02-02 4295
链接*————————————————————————- 提示看源码:<html> <head> Secure Web Login </head> <body> <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_M
NCTF SQL注入1
雨九九的小窝
10-25 673
地址:http://chinalover.sinaapp.com/index.php 源码: &amp;amp;lt;html&amp;amp;gt; &amp;amp;lt;head&amp;amp;gt; Secure Web Login &amp;amp;lt;/head&amp;amp;gt; &amp;amp;lt;body&amp;amp;gt; &amp;amp;lt;?php if($_POST[user] &
网络攻防--SQL注入
qq_64389397的博客
01-07 833
SQL注入是一种代码注入技术,它利用web应用程序和数据库服务器之间接口中的漏洞。当用户的输入在发送到后端数据库服务器之前未在web应用程序中正确检查时,就会出现此漏洞。许多web应用程序从用户处获取输入,然后使用这些输入构造SQL查询,这样web应用程序就可以从数据库中获取信息。Web应用程序还使用SQL查询在数据库中存储信息。这些是web应用程序开发中的常见做法。如果未仔细构造SQL查询,则可能会出现SQL注入漏洞。SQL注入攻击是对web应用程序最常见的攻击之一。
南京邮电大学网络攻防训练平台writeup
weixin_34234829的博客
08-13 1530
为了让各位能够好好查看一下,我违规操作了(QAQ)放在随笔里面了(Orz) 本文转自findneo:https://www.cnblogs.com/findneo/p/nupt-ctf-writeup.html 南邮CTF平台网址: http://ctf.nuptsast.com/challenges http://ctf.nuptzj.cn/cha...
NCTF-Writeup
Yukikaze_cxy
05-30 1709
南京邮电大学网络攻防训练平台https://cgctf.nuptsast.com以下按本人做题的顺序排序剩余题目待补完。。。【Web】1.签到题nctf{flag_admiaanaaaaaaaaaaa}网页源码2.单身二十年nctf{yougotit_script_now}由于页面自动跳转,使用工具查看search_key.php页面源码即可3.SQL注入1nctf{ni_ye_hui_sql?}...
南京邮电大学第十一届网络攻防大赛开源题目_NCTF2022.zip
最新发布
09-01
南京邮电大学第十一届网络攻防大赛开源题目_NCTF2022
网络攻防SQL注入攻击
MyCodeDream的专栏
06-13 1707
SQL注入攻击的根源是因为SQL规范的漏洞,但是,因为规范的长期存在以及使用,几乎已经不太可能去修改规范了,只能够从开发者本身去避免攻击,虽然SQL注入之前很严重,但现在相对控制的很好,这里仅仅作为一种学习的内容。 测试过程如下: 1:搭建PHP,mysql开发环境,可以详见我的另一篇博客自定义开发PHP环境 2:添加数据库,表,以及表内容。3:分别测试 万能密码,万能用户名
SQL注入攻击与防范研究
03-07
SQL注入攻击与防范研究,SQL是目前最流行的攻击之一,大家可以通过这篇文章很好的了解这一技术。
南邮 sql注入2
h3110n3w0r1d
04-05 758
<?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS); mysql_select_db(SAE_MYSQL_DB); $user = $_POST[user]; ...
南邮CTF--SQL注入
weixin_34219944的博客
05-18 328
南邮CTF--SQL注入题 题目:GBK SQL injection 解析: 1.判断注入点:加入单引号发现被反斜杠转移掉了,换一个,看清题目,GBK,接下来利用宽字节进行注入 2.使用'%df' '进行注入,emm报错,于是加入老手段,and 1=1 %23,ok,没报错,说明成功 3.继续改参数,1=2时,没有任何信息,找到注入点 4.利用order by 查询列数,当查询2时,显...
南邮mysql_南邮 SQL注入1
weixin_33329305的博客
01-19 153
题目:点开source:Secure Web Loginif($_POST[user] && $_POST[pass]) {//如果上传两个变量user pass 则继续执行if下面的代码mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);//链接sae的mysq...
SQL 注入2(南邮
sworddancing is the best one
09-28 1132
题目源代码如下:   其中标注的地方为重点代码,分析如下: 1.用post方法输入两个变量 2.输入的变量pass的值经过MD5加密了 3.中存储的是sql命令的结果集 4.如果变量存在,并且,$pass与$query[pw]相等(不区分大小写) 所以我们考虑在$user上加上一个union语句,即向$query的结果集中在加一条,同时能够使得条4成d立的,如下图:  注意...
网络攻防期末大作业选题:防sql注入的登录网站【网络攻防CTF】(保姆级图文)
MZH
06-13 3468
期末大作业选题:放sql注入的登录网站【网络攻防CTF】(保姆级图文)
渗透攻防web篇-sql注入攻击中级
煮酒闲谈
08-05 4036
Preface 找到SQL注入漏洞后,我们可以用它来干什么呢?那么本篇文章给大家带来的就是SQL注入漏洞利用技术,现在是时候让我们去体验一下漏洞利用的乐趣了。 目录 第三节 利用SQL注入 3.1 识别数据库3.2 UINON语句提取数据3.3 枚举数据库3.4 窃取哈希可令3.5 获取WebShell 第四节 SQL盲注利用 4.1 初识SQL盲注4.2 SQL盲注入技术
sql注入2
WYJ____的博客
08-03 358
     
戴尔最新笔记本主板PCA50-V1.2设计详解:FIC代工关键图纸
- PCH部分涉及LVDS/DDI(低电压差分信号)、PCI/USB/NVRAM(PCI Express、USB接口和非易失性存储器)、GPIO/NCTF/RSVD(通用输入输出、网络连接和预留端口)等。 4. **内存和接口**: - DDR3 SDRAM SO-DIMM 插槽...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值