ctf-----这个看起来有点简单

最新推荐文章于 2023-05-20 20:33:21 发布
最新推荐文章于 2023-05-20 20:33:21 发布
阅读量841 收藏
点赞数 1
分类专栏: ctf 文章标签: ctf web攻防 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lsimisama/article/details/78884643
版权
博客探讨了一次CTF比赛中的Web攻防问题,通过URL链接后添加单引号发现使用了MySQL数据库。通过测试and 1=1和and 1=2确认SQL注入漏洞。利用sqlmap工具在Windows系统上进行操作,枚举出数据库my_db及其包含的news和thiskey两个表。关键信息藏在thiskey表中,通过--columns和--dump命令获取了名为k0y的key,揭示了flag。
摘要由CSDN通过智能技术生成

在链接后加上单引号可知数据库为mysql

在链接后加 and 1=1 测试,返回结果正常

在链接后加 and 1=2 测试,返回结果异常,此链接存在注入,打开sqlmap输入

最低0.47元/天 解锁文章
lsimisama
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF_刷题记录
煤矿路口西的博客
08-15 707
6月21日20点-22日20点 第五名(5/9) 1200点 一个月学习密码学的成果吼吼吼 继续努力吧 REVERSE 2题 CRYPTO 4题 MISC 2题 REVERSE HelloCTF 用IDA打开 这串字符感觉似曾相识,拿去16进制转文本可得:CrackMeJustForFun, 套上falg{}提交 insanity 用IDE打开 得flag{This_is_a_flag} (这两题完全白给,搜的题目关键字。但是re完全不会,不行啊…… CRYPTO CRYPTO-warmup 文件提
CTFHub技能树 Web-信息泄露 vim缓存
m0_64586444的博客
03-15 503
CTFHub技能树 Web-信息泄露 vim缓存
噗,纪念一下我(在队长指导下)做出的第一道ctf签到题(逃)——下载下载...
weixin_38170255的博客
04-06 223
其他大佬的wp:http://www.safe-w22.com/index.php/archives/741 安卓之类的(zip) https://url.cn/5PyIddy WEB题 2019掘安杯,某国家题:下载下载 我一开始= = 太naive,下载了这个蓝色链接的文件,打开是这样的。(大佬直接burp拿到flag文件) 虽然我完全是萌...
ctf vim
Apricity_sun的博客
05-20 174
题目描述:当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存会一直留在服务器上,引起网站源码泄露。
CTFHUB-Vim
Web学习之路
11-07 1050
超实用技巧
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-反编译相关资料
最新发布
03-11
包括学习的PPT,常见的用于反编译的工具,CaptfEncoder-win-x64-3.1.2.exe、CTF-Tools-v1.3.7.zip、GDA4.02.zip、jadx-gui-1.4.3-with-jre-win.zip
myctf:CTF竞赛计划
04-30
MYCTF MYCTF 是一个简单易扩展的CTF程序,用于举办小型比赛,基于sqlite和文本数据库。 依赖于:tornado peewee mako 支持 python3 或 python2.7 基于 生成 特性 简单方便:不需要任何服务和额外配置,开箱即用。 保证公平:详细的排名规则,首先按分数排名,分数相同时先做出题的人排在前面,不受字典序影响 分数加值:每道题默认有5分附加分,首个解题者拿5分,第二个4分,以此类推。 使用说明 1. 开始 首先,你应该知道什么是CTF。 当你决定举办一个小比赛的时候,可以先按最底下说的办法把服务开起来。 然后登录到 127.0.0.1:9000 去注册一个账号,因为首个注册的帐号是管理员。 端口9000可以在配置文件中修改 2. 准备题目 当你大概搞明白系统是怎么回事,就可以准备题目了。 题目准备有两种办法,一种是直接编辑 ctf 目录下的题目文
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
ctf此php是用vim编辑的,CTF命令执行漏洞的一些杂七杂八的笔记
weixin_36181866的博客
03-11 1121
CTF命令执行漏洞的一些杂七杂八的笔记命令执行漏洞主要是由system、exec、shell_exec,eval等函数能把用户输入的内容当作是命令来执,反引号一般的作用是与system类似,都是把内容作为命令来执行。//不过在这些命令执行函数里面,只有system是有回显的,其他的函数都需要搭配着echo来使用关于过滤的一些笔记一般看到有过滤的我都会直接先用echo "npfs "; includ...
CTF杂项之文件头损坏/缺失(以vim为例)
weixin_44268185的博客
06-11 2960
遇到这类的问题我们首先应该用16进制打开文件 这里用vim为例 我们可以看到这张图片的文件头发生了损坏,此时我们在按上述方式打开一张jpeg图片,看一下他的文件头应该是什么.此处直接贴上来jpeg的文件头是ffd8 ffe0我们按i进入命令模式将文件头改过来此时在输入:%!xxd -r把文件改回二进制格式然后输入:wq保存并退出文件至此文件就修好了,让我们看一下结果...
CTF学习日记(2)
NUC_zlt的博客
11-01 1223
CTF学习日记第二次总结
CTFHUB -vim
m0_64180167的博客
02-27 344
原文链接:https://blog.csdn.net/m0_73802738/article/details/127739884。以 index.php 为例:第一次产生的交换文件名为 .index.php.swp。当vim异常退出后,因为未处理缓存文件,导致可以通过缓存文件恢复原始文件内容。再次意外退出后,将会产生名为 .index.php.swo 的交换文件。使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除。第三次产生的交换文件则为 .index.php.swn。
BUUCTF 喵喵喵
Charles_Andrew的博客
11-24 968
文件打开来是张图片 题目也写了扫一扫,那就直接用stegsolve打开来 发现文件0通道有异常,是LSB隐写,保存为.png文件,并用010打开 发现文件头有问题,将FF FF删去保存 发现二维码只有一半, 使用010更改高度 使用 QR扫码,即可发现网址:https://pan.baidu.com/s/1pLT2J4f .txt打开后显示没有,结果...... 最后上网查找了一下,结果发现可能是NTFS流,放到NtfsStreamsEditor2中发现了 ...
CTFHub技能书解题笔记-信息泄露-备份文件下载-vim缓存
qq_43006864的博客
12-15 1808
打开题目,告诉我们flag再index.php的源码中。然后无任何提示, 看到这里,我下意识的反应就是/index.php。然后ctrl+u 大家也可以尝试一下。反正是错的。 然后这个方法是错的,我就打开了dirsearch,个人感觉做ctf的时候dirsearch比御剑好用点,仅代表个人观点。 然后这一扫还真有发现。 难怪我刚才index.php。没反应,少了swp的后缀。 然后这里,大家切记,细心点。看好了 这里是/.index.php.swp。可别少了.。 访问它 ...
实验吧ctf-web题:这个看起来有点简单
Elvira
08-22 7451
sql注入,sqlmap,union,information_schema
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值