desc注入及相关例题分享
desc是函数describe的简写,一般用来提供和表相关的列信息来查看表的结构。
很多CTF赛题考点都是运用它的一些我们不太熟悉的特性或者说使用方法。常规来讲desc后面跟的是表名,但事实远不止于此,除了表名还可以有第二个参数。 而且在第二个参数中,它除了列名之外,还可以是包含sql通配符的字符串。
演示一下:
它会出一个表的一个结构。
下一个参数去跟一个列名:
例题分享
第一步先拿到源码
可以选择在这两个地方注入:
本文介绍了CTF比赛中的desc注入技术,详细讲解了desc函数不仅可以用于获取表结构,还可以通过第二个参数利用SQL通配符进行注入攻击。通过实例展示了如何构造注入语句,绕过限制获取目标数据,并提供了万能密码的概念和应用案例。
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
