广西五象云谷杯-报名题-SQL注入(Easy injection)

已于 2022-12-03 23:00:58 修改
阅读量436 收藏
点赞数
分类专栏: CTF 文章标签: sql 数据库 web安全
于 2022-11-18 16:24:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c4ib4o/article/details/127924496
版权

0x00 题目

打开题目链接
在这里插入图片描述

0x01 分析

通过GET方式传参数id进行注入,经过测试,该注入点为数字型注入且为联合注入
在这里插入图片描述
测试发现过滤了很多字符和关键词如
空格、_、'、database、()连续的左右括号、and、or、in、-、—、+、.、where等等
思考了很多绕过方法来一步步地进行联合注入
但是这道题真的如题目所说的Easy injection般easy吗?
经测试,此处查询有两列
在这里插入图片描述
由回显猜测此处存在users表
在这里插入图片描述
猜测既然是users表,又尝试了在回显点通过列名进行值查询
在这里插入图片描述
经过一轮尝试后,得出

  • 当查询只猜表名时,表存在则有回显,不存在则无回显
  • 在表存在的情况下,列名存在,则有回显,不存在则无回显
  • 一般来说,users表存放的数据可能是id、用户名、密码等等,而经过尝试发现该表不存在列名为flag的列,且尝试了常被当做用户名、密码的列名的值,如username、uname、pwd、passwd等等,均无回显
    因此猜测,flag可能不在users表中
    猜测存在flag表,有回显,证明存在flag
    在这里插入图片描述
    猜测存在flag列,最终得到flag
    在这里插入图片描述
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
广西五象云谷杯-报名-SQL注入(Bypass)
c4ib4o的博客
11-14 101
广西五象云谷杯-报名-SQL注入(Bypass)
广西五象云谷杯-报名-SSRF
c4ib4o的博客
11-15 525
广西五象云谷杯-报名-SSRF
广西五象云谷杯-报名-PHP反序列化
c4ib4o的博客
11-14 105
广西五象云谷杯-报名-PHP反序列化
散乱点云谷脊点提取 soo-kyun kim
weixin_41269731的博客
05-08 308
1.协方差的意义 https://blog.csdn.net/northeastsqure/article/details/50163031
云谷计算机华南,广州南沙云谷机房,广州南沙云谷数据中心
weixin_35885813的博客
06-19 311
广州南沙云谷数据中心。位于广州南沙平谦国际CB栋,总占地面积为2万平万米,现建有3000个机架,互联网带宽超过400G,是华南地区独栋规模最大、上架速度最快、建设周期最短的云计算数据中心。自2014年投入运营以来,机房运行状况良好,已被多家知名互联网企业选为其华南区网络核心节点。地理位置:中国广东省广州市南沙区珠江工业园灵新公路二涌口平谦国际现代产业园C、D栋。交通信息:南沙区作为广州唯一出海口,...
产品+工程+科学+游戏+AI…… 一次全新的尝试——云谷夏校
人人都是产品经理
05-14 6887
昨夜,OpenAI又上新了,顺势说一个最近做的实验性项目。今年夏天暑假,准确的说是7月8号到12号,我和两位朋友,会与云谷学校合作开设一个为期一周的夏校,面向4~7年级的学生。这个夏校项目将融合产品思维,工程思维,科学思维,游戏思维,合作思维等等,由“AI们”做老师的,通过一周的实践活动,我们(我和两位好朋友)和学生们(非云谷的也可以报名)、助教们(杭师大的大学生)共同探索未来学习模式。这个尝试,...
报告 | 刘永鑫-微生物组方法开发、功能挖掘和科学传播(西湖大学云谷校区E1-314,5月11日14:00)...
刘永鑫的博客——宏基因组公众号
05-11 61
更多推荐(▼ 点击跳转)高引文章 ▸▸▸▸iMeta | 引用7000+,海普洛斯陈实富发布新版fastp,更快更好地处理FASTQ数据高引文章 ▸▸▸▸iMeta | 德国国家肿瘤中心顾祖光发表复杂热图(ComplexHeatmap)可视化方法高引文章▸▸▸▸iMeta | 高颜值绘图网站imageGP+视频教程合集 ...
泰山云谷计算机中心,云谷产业园:一中心三基地打造泰山科技之“云”
weixin_42361071的博客
06-20 304
泰山云谷董事长吴华鹏向采访团介绍产业园整体情况胶东在线网泰安11月1日讯(特派记者 侯洪斌)泰山云谷互联网产业园坐落在东岳泰山脚下,目前仍在建。整个工程分两期进行,计划用8年时间,依托云计算中心,建成一座集互联网数据存储、高科技产业研发、产品孵化、人才培养于一体的互联网产业基地。1日,聚焦“一圈一带”采访团走进这里,目睹泰山脚下这片科技之“云”的“升起”。当日上午,在泰山云谷互联网产业园的展示中心...
横扫显示屏行业,SK9822-D20灯珠优势来袭,双信号LED画面效果好!
wb794697118的博客
11-28 1314
显示屏行业新星,SK9822-D20灯珠,拥有高强度传输速率的2020RGBIC灯珠,画面传输效果更佳,划时代显示领域使用优选SK9822-D20(日不落)。 深圳市日不落灯光科技有限公司成立于2015年5月,属于民营高科技企业,专业致力于研发、生产、销售贴片LED灯珠的新产品,公司创始团队具有十多年LED研发经验,并且与清华大学、华南理工大学等科研院所开展产、学、研合作。公司所研发、生产...
天安云谷----智慧园区.docx
07-09
天安云谷智慧园区是基于SMAC(社交网络、移动互联网、大数据分析和云计算)技术构建的现代化产业服务平台。这个平台旨在通过整合产业资源,优化产业生态环境,提高企业效率,降低运营成本,创造一个有利于创新和发展...
天安云谷----智慧园区.pdf
07-08
【天安云谷智慧园区】是一个基于SMAC技术(社交网络、移动互联网、大数据分析和云计算)构建的综合性产业资源和服务平台。智慧园区的核心理念在于通过这些先进技术促进园区内产业的关联性和协同效应,优化产业环境,...
力扣高频SQL 50(基础版)第八
m0_70882914的博客
07-23 775
1581. 进店却未进行过交易的顾客
会Excel就会sql
svygh123的专栏
07-20 1316
以上就是通过具体的例子来说明Excel中对应的操作,以便更好地对比SQL,通过这些步骤,你可以直观地在Excel中实现类似数据库操作的功能,SQL就像是数据库世界的Excel,但它更加强大,适用于大规模数据处理和复杂的数据关系管理。虽然开始时可能会觉得SQL语法有些抽象,但一旦掌握了基础,你会发现它非常高效且强大,特别是在处理大量数据和执行复杂查询时。就像在Excel中一样,实践中学习SQL会更加有效,尝试编写一些简单的查询,逐渐增加难度,你会很快上手的!
SQL labs-SQL注入(四,sqlmap对于post传参方式的注入)
最新发布
2302_80280669的博客
07-24 313
post与get传参并无明显差别,工具使用大同小异,手工post注入与get并无明显差别。下一篇文章将会讲解SQL注入-post手工注入。
Concat() Function-SQL-字符串拼接函数
喻师傅的学习笔记
07-24 533
SQL中,CONCAT()函数用于将两个或多个字符串连接在一起。不同数据库管理系统可能有些许差异,但基本用法和语法通常是相似的。
Dav_笔记10:Using SQL Plan Management之3
Dav_2099的博客
07-23 520
接受SQL配置文件后,数据库会将调整后的计划作为非固定计划添加到固定SQL计划基准。使用SQL Tuning Advisor调整SQL语句时,如果顾问程序找到调优计划并验证其性能优于从相应SQL计划基准中选择的计划,则建议接受SQL配置文件。优化程序不会将新计划添加到固定的SQL计划基准。您可以使用固定的SQL计划基准来修复SQL语句的可能计划集(通常是一个计划),或者通过将“概述”计划作为固定计划加载来迁移现有的存储轮廓。如果固定的SQL计划基准还包含非固定计划,则优化程序优先于非固定计划的固定计划。
SQL Server 数据误删的恢复
踏雨歌青春,诗酒趁年华
07-24 9320
在日常的数据库管理中,数据的误删操作是难以避免的。为了确保数据的安全性和完整性,我们必须采取一些措施来进行数据的备份和恢复。本文将详细介绍如何在 SQL Server 中进行数据的备份和恢复操作,特别是在发生数据误删的情况下。假设我们已经开启了全量备份,并且在误操作之前有一个全量备份文件。
sqlalchemy新增数据时,返回新增的数据
ithongchou的博客
07-24 281
使用 SQLAlchemy ORM:插入记录后,你可以使用模型实例的属性(如 ID)查询新记录。使用 SQLAlchemy Core:如果你的数据库支持RETURNING子句(如 PostgreSQL),可以直接使用方法在插入时返回新增的数据。根据你的需求和所用数据库的支持情况,选择适合你的方法来获取新增的数据。
深圳天安云谷:城市更新与产业综合体案例分析
"深圳天安云谷项目是一个位于坂田华为科技城的城市更新示范项目,由深圳天安骏业投资发展有限公司开发。该项目占地面积76万平方米,总建筑面积达到289万平方米,主要由产业大厦、居住公寓、配套商业和住宅组成,物业...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值