BUUCTF [极客大挑战 2019]EasySQL 1

最新推荐文章于 2024-07-17 11:29:00 发布

玥轩_521

最新推荐文章于 2024-07-17 11:29:00 发布

阅读量292

点赞数 10

分类专栏： CTF Web 文章标签： CTF 网络安全 web安全 SQL注入 BUUCTF WEB

本文链接：https://blog.csdn.net/YueXuan_521/article/details/138181445

版权

CTF Web 专栏收录该内容

1 篇文章 0 订阅

订阅专栏

BUUCTF:https://buuoj.cn/challenges
在这里插入图片描述

题目描述：

[极客大挑战 2019]EasySQL 1

密文：

解题思路：

1、根据题目提示，并且网站也存在输入框，尝试进行SQL注入。

首先，判断提交方式，随机输入数据
在这里插入图片描述

提交数据出现在URL中，确定为GET提交方式

2、判断注入类型是字符型还是数字型

输入

1'

在这里插入图片描述
查看是否有报错信息

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '1'' at line 1

出现语法错误提示，确定为字符型注入

3、判断注入点

使用

1' or 1=1#

如果结果返回了全部的内容，可以判断存在注入点
在这里插入图片描述
没想到这道题这么简单，仅仅判断注入点flag就出来了，连sqlmap都没用

flag：

flag{60f94177-044e-40dd-8378-e49b803a8362}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

玥轩_521

关注关注

10
点赞
踩
4

收藏

觉得还不错? 一键收藏
打赏
1
评论
BUUCTF [极客大挑战 2019]EasySQL 1

BUUCTF [极客大挑战 2019]EasySQL 1
复制链接

扫一扫

专栏目录

BUUCTF在线测评之[极客大挑战 2019]EasySQL 1

weixin_49182737的博客

03-03

5404

启动靶机只给了一个地址，点击进去即是靶机可以看到这是一个登录页面虽然靶机信息那已经提示我们这是一个EasySql，结合靶机页面是登录页面，把八九不离十的可以确定这一题是考察SQL注入的，并且Easy提示我们，是简单的sql注入。 BUT出于一个网安爱好者的心态，我们还是要简单看一下这个页面的信息，说不定出题者挖坑呢。。。虽然结果是然并卵所以还是老老实实听提示试sql注入吧这里安利一下firefox，这浏览器可以在拓展里装Hackbar,一款房间寻找web安全bug的插件一个不太好的信息时

【BUUCTF_WEB】 EasySQL1

qq_45766280的博客

05-07

400

先上图先试试无论输入什么数字都显示一样的结果输入flag等特殊查询语句显示其他的则不显示任何信息尝试一下堆叠查询，输入： 1;show databases; 试了试联合查询，输出NONONO 查一下表 1; show tables; 好了明白了，flag应该就在当前表中，但所有有关Flag表的查询都被过滤掉了。查看了别人的wp后才明白原理。后端代码大致如下 select $_GET['query'] || flag from flag 在这个语句中起到过滤作用的是 || 这个的

1 条评论您还未登录，请先登录后发表或查看评论

BUUCTF [SUCTF 2019]EasySQL1 做题笔记/心得（自留）

m0_74449411的博客

10-29

260

本篇并不作为一篇write up，仅记录自己的部分观点以及思考过程，此题在该站上已经有了许多优质题解，大家可以先去熟悉题目以及解法思路之后再来阅读该篇文章，而笔者作为一名web新人，基础较差，很多地方看待问题存在钻牛角尖以及常识缺乏问题，欢迎大家提议讨论，在不久的将来如果实力成熟，也会再次回过头来回顾自己如今的思考过程以及产生误区的原因进行分析。

BUUCTF: [极客大挑战 2019]EasySQL 1

emdog的博客

10-21

8134

点进链接，显示的是看出是一道登录题，判断为存在SQL注入。尝试用账户admin、密码123456登陆：再尝试闭合方式，账号输入1,1’,1"判断，当输入为1’时报错，所以判断结果语句应该为单引号闭合。万能密码表所谓的万能密码就是绕过登录验证直接进入管理员后台的密码，这种类型的密码可以通用到很多存在此漏洞的网站，所以称之为万能。账号 'or 1=1 # 密码任意 (这个很好用！) 一般的验证语句为 select * from table_name where username='admin'

【BUUCTF】[极客大挑战 2019]EasySQL 1

qq_45972928的博客

05-06

957

根据题目可知，这是大概率是一道SQL注入题知识点——万能密码原理：原本查询username = ’username‘，我们要尝试对引号进行闭合，所以当username=1’ or’1’='1时，id = '1’ or ‘1’=‘1’，成功闭合了两边的引号并加上了我们写的语句 1、进入网站 2、尝试登录 3、加单引号，双引号等方法粗略判断是否存在注入 4、可以看到存在注入点，而且这是极大可能是一个单引号的字符型注入。尝试单引号相关的万能密码 username=1’ or ‘1’=‘1&

阿里云IoT极客创新挑战赛.pdf

08-29

高级设计专家望海在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。

2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx

05-06

此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典，旨在庆祝三诺集团的周年纪念，并促进北海市高新产业园及其相关企业的交流与合作。活动的...

极客学院 idea教程含2017.1版本 PDF及两个视频

11-16

【标题】"极客学院 idea教程含2017.1版本 PDF及两个视频" 涵盖了IntelliJ IDEA的使用方法和实践，是针对2017.1版本的详细教学资源。IntelliJ IDEA是一款流行的Java集成开发环境（IDE），由JetBrains公司开发，广泛...

极客学院JAVA视频教程新版 7大部分

08-08

Java语言视频教程极客学院JAVA视频教程新版 7大部分

天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip

01-28

【资源说明】 1、该资源包括项目的全部源码，下载可以直接使用！ 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目，...天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip

一文解读，网络安全行业人才需求情况《网络安全产业人才发展报告》

weixin_59086772的博客

10-18

8339

随着近几天国家网络安全宣传周在全国各地开展活动，网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里，惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何？该怎么提升自我能力，更快地加入网安行列。今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。一、网络安全行业市场发展情况网络时代生活越来越离不开网络，与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障，个人和企业等重.

网络安全-网络安全及其防护措施8

最新发布

LS_Ai的博客

07-17

1076

数据中心网络架构是指数据中心内部网络的设计和结构，其目的是提供高性能、高可用性和高扩展性的网络连接。合理的数据中心网络架构能够支持大规模数据处理和传输，满足数据中心的业务需求，提高整体运营效率。负载均衡是一种分配网络流量和计算任务的方法，旨在优化资源利用率、提高系统性能和增强服务可用性。通过将请求分配到多个服务器上，负载均衡避免了单点故障和性能瓶颈，确保系统稳定和高效运行。网络安全策略是指为保护网络和信息系统的安全而制定的一系列规则和措施。

等保测评助力网络安全治理现代化

waitaikong_的博客

07-14

373

等保测评，即信息安全等级保护测评，是依据国家相关法律法规和标准，对信息系统进行安全等级划分和安全性能评估的过程。它涵盖了从技术到管理、从人员到流程的多维度评估，旨在确保信息系统在面对各种威胁时的安全性和可靠性。随着网络技术的发展和网络安全形势的变化，等保测评在网络安全治理现代化中扮演着越来越重要的角色。

网络安全-网络安全及其防护措施1

LS_Ai的博客

07-14

1036

网络安全是指保护网络系统及其数据免受未经授权的访问、使用、修改或破坏的过程。它包括对硬件、软件、数据和通信的全面保护，确保系统的机密性、完整性和可用性。网络安全涉及一系列的策略、技术和流程，用于保护网络和数据免受攻击、损失或未经授权的访问。机密性：确保信息只被授权人员访问和查看。完整性：保证信息的准确和完整，防止未经授权的修改。可用性：确保系统和数据在需要时可被合法用户访问。

网络安全-网络安全及其防护措施3

LS_Ai的博客

07-15

754

虚拟专用网络（VPN）是一种通过公用网络（如互联网）建立安全、加密连接的方法，使用户能够安全地访问内部网络资源。数据保密性：通过加密确保数据在传输过程中不被窃听。数据完整性：防止数据在传输过程中被篡改。远程访问：允许远程用户安全访问公司内部网络资源。隐私保护：隐藏用户的真实IP地址，保护隐私。绕过地理限制：访问受地理位置限制的内容。网络访问控制（NAC）是一种网络安全解决方案，用于管理和控制设备和用户对网络资源的访问权限。

如何保护你的网络安全？

m0_70655343的博客

07-15

657

这项服务可以抵御复杂的网络威胁，即使在最强烈的攻击下也能保证您的网站服务如常，用户几乎无感知。此外，DDoS高防服务还具备网络应用程序防火墙（WAF），采用实时监控和机器学习来保护用户的资料，防止用户资料被盗，保护服务免遭未经授权的访问，降低个人数据泄露的风险，进而防止数字资产流失。为什么它这么重要呢？打个比方，这就像是你家车库的门开关出了问题，每次你按下按钮，车库门就不停地开关，直到电池耗尽。想象一下，你家的路由器被人利用来发起攻击，就像是你家的水龙头被打开，水不停地流向别人的房子，淹没了他们的院子。

近源渗透简介

2301_80361487的博客

07-15

522

通过乔装、社工等方式实地物理侵入企业办公区域，通过其内部各种潜在攻击面（如Wi-Fi网络、RFID门禁、暴露的有线网口、USB接口等）获得“战果”，最后以隐秘的方式将评估结果带出上报，由此证明企业安全防护存在漏洞。

【网络文明】关注网络安全

Liang_z_的博客

07-13

1008

网络安全是指保护网络系统的硬件、软件及其存储、传输的数据不被非法访问、篡改、泄露或破坏的过程。这包括了保护个人电脑、智能手机、服务器、网络基础设施等设备的安全，确保电子通信的私密性、完整性和可用性。网络安全是一项系统工程，涉及政府、企业、社会组织和每个个体。在享受互联网带来的便利的同时，我们每个人都应承担起维护网络安全的责任。通过持续的学习、实践和合作，构建一个更加安全、可信的网络环境，让科技真正造福人类社会。程序员作为数字时代的建设者，我们的每一行代码都承载着责任与使命。

buuctf 极客大挑战2019php

08-24

buuctf 极客大挑战2019php是指buuctf举办的一个PHP编程比赛，它是基于阿里云IoT技术平台的创新挑战赛。在该比赛中，参赛者需要利用PHP编写代码解决一系列技术难题。这些问题可能涉及到序列化、反序列化、变量值的展示等。序列化是指将对象转化为字符串的过程，而反序列化则是将字符串转化为对象的过程。在PHP中，可以使用serialize()函数进行序列化，并使用var_dump()函数进行反序列化结果的展示。123 #### 引用[.reference_title] - *1* [阿里云IoT极客创新挑战赛.pdf](https://download.csdn.net/download/weixin_38744375/11634853)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【BUUCTF-Web】 [极客大挑战 2019]PHP](https://blog.csdn.net/m0_51683653/article/details/126693573)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么？

非常没帮助
没帮助
一般
有帮助
非常有帮助

提交