实战篇4:成绩查询

已于 2023-07-12 16:44:41 修改
阅读量84 收藏
点赞数
文章标签: 数据库 sql
于 2023-07-08 19:05:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aiojay/article/details/131614103
版权

首先,打眼一看,成绩查询四个大字,说明和数据库有交互行为,判断考察的是数据库,有SQL注入的可能。

按照提示,先输入1,点击查询

出现龙龙龙的成绩单

然后接着尝试输入,直到4显示为空

 

由于我们不知道,页面与数据库的交互行为是get还是post,所以接下来尝试用burp抓包(刚开始的时候完全不知道还要抓包)

 抓包后可知是post

ok,接下来就是用老方法,URL注入SQL语句,当然也可以在burp中进行(在最下面id=1后注入),打开HackBar

然后就按照SQL注入常规方法进行

经过一系列操作后,最终确认闭合符是单引号',最长字段为4

闭合符的确认

最长字段的确认

判断回显点

脱库

爆库名

爆表名

爆列名

爆字段

这个group_concat可删去

拿到flag!!!!!!!

 陷阱

表名应是fl4g

aiojay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AI大模型探索之路-实战篇4:深入DB-GPT数据应用开发框架调研
寻道码路,探索编程之路的无限可能。
05-24 5257
在当今的人工智能时代,大模型技术的迅猛发展为各行各业带来了前所未有的变革。这些大模型,以其强大的语言理解和生成能力,正在逐步成为智能化应用的核心。然而,如何高效地利用这些大模型,构建出满足各种需求的应用,仍然是一个具有挑战性的问题。DB-GPT,作为一个开源的AI原生数据应用开发框架,应运而生,旨在简化大模型应用的开发过程,让构建智能化应用变得触手可及。本文将深入介绍DB-GPT的核心功能、关键特性,并通过实战操作,展示如何利用DB-GPT进行数据应用开发。DB-GPT是一个开源的AI原生数据应用开发框架。
MobileNetV4实战:使用MobileNetV4实现图像分类任务(一)
AI浩
06-04 1095
论文链接:https://arxiv.org/pdf/2404.10518MobileNetV4,作为新一代移动设备神经网络架构,凭借其创新的通用倒置瓶颈UIB块和Mobile MQA注意力块,实现了计算效率和运行速度的显著提升。该架构通过精炼的神经架构搜索NAS方法,创建了多个卓越性能的移动设备模型。新型知识蒸馏技术进一步提高了模型准确性,而Mobile MQA块相较于传统多头注意力,在移动加速器上实现了显著的推理加速。
AI大模型探索之路-训练篇24:ChatGLM3微调实战-多卡方案微调步骤详解
寻道码路,探索编程之路的无限可能。
05-17 5567
在现代自然语言处理(NLP)任务中,随着模型规模的扩大和训练数据的增多,单张GPU的显存已经无法满足大模型的训练需求。为了充分利用多张GPU进行并行训练,我们需要了解不同的并行策略。本文将详细介绍ChatGLM3微调实战中的多卡方案及其步骤。这三篇论文共同构成了DeepSpeed项目的理论基础,它们不仅展示了如何通过技术创新来解决大规模模型训练中的挑战,还为深度学习社区提供了实用的工具和方法。
【粉丝福利社】AI数据处理实战108招:ChatGPT+Excel+VBA(文末送书-进行中)
时光隧道
06-01 3万+
本书是一本关于利用人工智能(artificial intelligence,AI)技术进行数据处理的实用指南。虽然市面上已经有多种关于智能办公方面的书籍,但真正针对与AI技术结合使用案例的图书少之又少。秉承着主动识变、应变求变和科技兴邦等精神,我们编写了《AI数据处理实战108招:ChatGPT+Excel+VBA》一书,致力于为读者提供一种全新的学习和工作方式,使大家能够更好地适应时代发展的需要。
机器学习实战-原理篇
李孟的博客
09-20 1256
文章目录一.简介二.建立模型2.1 简介2.2 示例2.3 小结三.分类3.1 简介3.2 监督学习3.3 无监督学习3.4 半监督学习四.强化学习五.深度学习六.总结 一.简介 机器学习之父 Arthur Samuel 对机器学习的定义是:在没有明确设置的情况下,使计算机具有学习能力的研究领域。国际机器学习大会的创始人之一 Tom Mitchell 对机器学习的定义是:计算机程序从经验 E 中学习,解决某一任务 T,进行某一性能度量 P,通过 P 测定在 T 上的表现因经验 E 而提高。 而机器学习的厉害
【粉丝福利社】CTF实战:从入门到提升(文末送书-完结)
热门推荐
时光隧道
02-02 6万+
没有网络安全就没有国家安全,网络安全不仅关系到国家整体信息安全,也关系到民生安全。近年来,随着全国各行各业信息化的发展,网络与信息安全得到了进一步重视,越来越多的网络安全竞赛也开始进入人们的视野。网络安全竞赛对于主办方来说,在某种程度上能完成对网络安全人才的选拔,对于参赛者来说,也是一个很好的交流学习平台,更是很多人接触网络安全、学习网络安全、深入了解网络安全的重要渠道。CTF是Capture The Flag(夺旗赛)的缩写,它是一种网络安全竞赛。
CTF实战:从入门到提升
chen520的博客
06-25 6477
本书采用理论与案例相结合的形式,全面讲解传统网络安全竞赛CTF解题赛中五大类重点知识和技能。全书共17章,其中第1~3章为第1篇Web安全,从原理层面讲解了最常见的PHP相关安全问题,以及文件上传漏洞、文件包含漏洞、命令执行漏洞、SQL注入漏洞、SSRF漏洞等常见Web漏洞的原理与利用;第4~6章为第2篇Crypto密码,主要介绍了密码学基础、常见编码、古典密码学和现代密码学等相关内容;第7~10章为第3篇MISC安全,主要介绍了隐写术、压缩包分析、流量分析和取证分析等相关内容;
ElasticSearch实战系列五: ElasticSearch的聚合查询基础使用教程之度量(Metric)聚合
虚无境的博客
02-29 1840
Title:ElasticSearch实战系列四: ElasticSearch的聚合查询基础使用教程之度量(Metric)聚合 前言 在上一篇中介绍了ElasticSearch实战系列三: ElasticSearch的JAVA API使用教程,介绍了ElasticSearch Java API基础的语法,基本的增删改查(对应SQL语句), 本篇则来介绍一下ElasticSearch 聚合查询的使用...
运维篇-SQL实战
fjping2008的博客
08-09 3595
MySQL8入门到精通】运维篇-SQL实战(100道题库)前言1.建表语句2.字符集设置3.表的创建、修改、删除4.数据完整性约束5.更新完整性约束条件6.索引的创建7.插入、更新、删除8.数据查询9.自定义函数10.触发器函数1.建表语句注:讲以下建表create_db.sql, 导入Mysql数据库。...
C语言实现学生成绩管理系统实战教学
08-26
本篇文章主要介绍了使用C语言实现学生成绩管理系统的实战教学内容,包括系统的设计、实现和测试。该系统具有成绩录入、学生成绩查询、删除、修改、通过文件保存等功能。 知识点1:数据结构-链表 在本系统中,我们...
php+sql成绩查询系统(系统+lw+PPT).rar
04-10
本篇将深入探讨基于PHP和SQL成绩查询系统的设计与实现,以及相关毕业设计和课程设计中的实践要点。 一、PHP基础及应用 PHP(Hypertext Preprocessor)是一种开源的服务器端脚本语言,尤其适合Web开发。它的语法...
广告AE升级系统实战篇.doc
12-25
【广告AE升级系统实战篇】主要探讨了广告行业中的AE(Account Executive,客户经理)如何通过心理素质的提升和业务技能的改进来实现自身的系统升级。AE的角色在广告行业中至关重要,他们既是公司与客户的桥梁,也是...
MicroNet实战:使用MicroNet实现图像分类
06-11
从得分情况来看,这个模型非常的优秀,我选择用的MicroNet-M3模型,大小仅有6M,但是ACC在95%左右,成绩非常惊艳!!! 通过这篇文章能让你学到: 如何使用数据增强,包括transforms的增强、CutOut、MixUp、CutMix...
《Visual+FoxPro程序设计》实战操作篇.ppt
11-06
《Visual FoxPro程序设计》实战操作篇主要涵盖了Visual FoxPro这一数据库管理系统的使用与开发技术。Visual FoxPro 6.0是其一个重要的版本,它提供了丰富的功能,用于创建、管理和操作数据库。以下是对该主题的详细...
PostgreSQL的逻辑架构
最新发布
weixin_41992498的博客
07-18 106
一、PostgreSql的逻辑架构:所有者:
【星海随笔】vCenter Server 和主机管理。
weixin_41997073的博客
07-16 194
1.方法:删除页面信息,然后断连这个受管主机,断开受管主机的连接不会将其从 vCenter Server 中移除,而只是临时挂起 vCenter Server 执行的所有监控活动。2.方法:在分布式存储中找到该虚拟设备的存储盘,文件里找到相关的vmdk磁盘文件,点击注册虚拟机。当资料不匹配时候,可以删除展示页面,孤立的设备的 匹配位置的信息。断开后,然后重新连接,既可以重新识别受监管的主机。数据库在Vserver中展示的是一个数据库的资料,应该是client的资料。1.确定为资料不匹配导致的展示问题。
Linux系统的用户组管理和权限以及创建用户
Johaden的博客
07-14 986
因此,我们可以根据每个用户的角色、职位和需求,为他们分配相应的权限,以确保服务器的安全性和有效管理。sudo(superuser do)是在类Unix操作系统中(包括Linux和macOS)常用的一个命令,它允许经过授权的用户以系统管理员(通常是root用户)的权限来运行程序或命令。2.在登陆Ubuntu时,会填写全名、用户名、密码等,所创建的这个用户就是默认用户,其中全名可以类似为一个昵称,用户名为主机名(较正式,不可随意更改)。超级用户可以执行系统上的所有命令,包括系统配置、文件访问和用户管理等。
Spring框架之DI依赖注入
G81948577的博客
07-18 565
我们在下面构建spring的过程中体会依赖注入;从上面的图中我们知道,在ssm框架中服务层(server)无法直接操作数据库,持久层(dao)是直接操作数据库进行数据处理的,但是我们如果在服务层有一个持久层的对象,然后我们在服务层通过对象去调用持久层的方法就可以操作数据库了。@OverrideSystem.out.println("持久层,你好");UserServiceImpl类中的代码如下@Override。
北京科技大:课程成绩管理数据库设计实战
本篇文档是关于北京科技大学的计算机科学与技术专业本科生的课程成绩管理数据库设计与实现的实验报告。实验主要目标包括: 1. **理解数据库系统基础**:学生需掌握数据库系统的三级模式结构(外模式、模式和内模式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值