Buu-web
无名函数
整装洒扫,迎接新的一天
展开
-
[SUCTF 2019]EasySQL
burp suite抓包 经过简单几个尝试,可以判断应该是布尔盲注,还是字符型的 回显会判断是0还是1,也就是true或是false 我通过类似(ascii(substr(database(),1,1))<1)的句子判断出了database()是ctf 但是没什么用,因为下一步爆表名的时候发现要么是无回显,要么是Nonono 搜了大佬们的解题 参考1 参考2 了解到可以用fuzz测试出被禁止使用的字符 关于fuzz现在还不熟悉,这里待补充 然后会发现想order、if、sleep、informatio原创 2022-05-05 21:43:42 · 1866 阅读 · 0 评论 -
2022-02-21
[极客大挑战 2019]EasySQL 用户名输入:1’ or 1=1# 密码随意 加载出来 [极客大挑战 2019]Havefun F12 网址加上/?cat=dog 得到原创 2022-02-21 22:23:54 · 136 阅读 · 0 评论