- 博客(2)
- 收藏
- 关注
原创 cisp-pte之SQL注入题一
通过审题得知题目要求通过SQL注入漏洞读取网站/home/key文件,首先想到SQL语句“load_file()”通过提示发现#、–、空格等均被过滤,符号尝试url编码绕过,空格通过/**/可绕过。hunter搜索:body=“cisp-pte 认证考试” 获取免费靶场。审题时的事key在/home下,直接带入sql语句查询即可。重点在于过滤了union,使用双写即可绕过。点击进入答题,尝试get请求参数id=1。group by 4正常回显。group by 5回显报错。由此确认当前表的字段数为4。
2023-06-13 14:30:45 487 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人