[SWPU2019]Web11

最新推荐文章于 2024-07-06 12:23:13 发布
最新推荐文章于 2024-07-06 12:23:13 发布
阅读量1.1k 收藏
点赞数
文章标签: linq c# web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62805300/article/details/124532459
版权

试试注册页面

admin被注册了试试其他的

登录进去有这样一个页面

有报错信息

有过滤

再尝试几次发现过滤了空格,and,or等(可用fuzz字典)

空格用/**/代替

确定字段 

 查询数据库

information_schema中有or被过滤用不了

但是在MySQL 5.6及更高版本中,我注意到InnoDB创建了2个新表。“ innodb_index_stats”和“ innodb_table_stats”。这两个表都包含所有新创建的数据库和表的数据库和表名。

 

查表

 

 

使用无列名注入查内容                                                                         

`是mysql转义符

 每个表每一列都试试

找到最后答案

 

 

R0ck3t
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
[SWPU2019]Web11--writeup
m0_65080524的博客
08-18 121
存在过滤 ---and,order by…空格,#,information_schema.tables也被过滤了。②sys.schema_auto_increment_columns 进行绕过。当order by被过滤可以试试group by。空格通过/**/ 绕过 #由’闭合绕过。但无法报列名 于是采用。
sql注入information_schema代替,无列名注入之[SWPU2019]Web11
qq_58970968的博客
08-10 888
的时候,有时候information_schema这个库可能会因为过滤而无法调用,这时我们就不能通过这个库来查出表名和列名。但是上述两种方法都只能查出表名,无法查到列名,这时我们就要用到无列名注入了。无列名注入,顾名思义,就是不需要列名就能注出数据的注入。但是mysql.innodb_table_stats只查到表名,所以不知道列名;information_schema可以查到所有的数据库和表名和列名;当or 被过滤时不能使用information_schema;这道题过滤了空格,用/**/绕过;...
buuctf [SWPU2019]Web1 1
weixin_45642610的博客
03-13 1590
buuctf [SWPU2019]Web1 1 sql 无列名注入 注册登录发布广告 1'测试 存在sql注入 经测试,or,空格,#被过滤 不能用order by测试列数,用group by代替 注释符#用,'3代替,数字随便 (这里的'相当于闭合了输入语句里参数的右引号,变成'3'字符串,此时整个语句没有注释符)(如果参数不在sql语句末尾,那不是失败了?有无懂哥?) 空格用/**/代替 1'/**/group/**/by/**/22,'3 1'/**/group/**/by/**/23,'
[SWPU2019]Web1
qq_43801002的博客
05-06 367
#题目 注入题 这是一个留言板的二次注入 登录了之后在发布广告处存在sql注入漏洞,我们输入的内容在输入后没有漏洞,当我们发布广告后查看广告详情的时候就造成了二次注入,从而产生了注入。 题目环境过滤了空格,我们使用/**/来进行绕过过滤了or,因此我们无法使用order by 以及information_schema这个库因为过滤了注释符,所以查询语句的最后我们要闭合单引号 1.有两种注入方式,...
SWPUCTF2019web题复现
bmth666的博客
04-05 1203
[SWPU2019]easy_web 有一个登录框,试了试万能密码失败,那就注册吧 登录后发现有一个申请广告,在标题处输入11111111’,发现报错,应该是sql注入 禁用了or,空格等等,先使用union发现有22列 -1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22 后面发现还可以用-1'/**/group/**/by/**/22,'1,一样可以爆出为22列 查看数据库:-1'
[SWPU2019]Web6
shinygod的博客
11-06 766
知识点:SQL注入中的with rollup、SoapClient 和 Soapserver
毕设&课设&项目&实训-SWPU数据库原理及应用大作业《西柚外卖订餐系统》基于Python+Flask+MySQL开发.zip
02-10
毕设&课设&项目&实训-本项目为SWPU数据库原理及应用大作业《西柚外卖订餐系统》,基于Python+Flask+MySQL开发 【项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发...
毕设&课程作业_SWPU数据库原理及应用大作业《西柚外卖订餐系统》,基于Python+Flask+MySQL开发.zip
01-22
本系统旨在模拟真实的在线订餐流程,通过Web界面实现用户下单、支付、查看订单状态等一系列功能,从而展示数据库在实际项目中的应用。 首先,Python作为后端开发语言,因其简洁明了的语法和丰富的库支持,成为开发...
本项目为SWPU数据库原理及应用大作业《西柚外卖订餐系统》,基于Python+Flask+MySQL开发,轻量简洁.zip
04-19
自1998年首次发布以来,MySQL以其卓越的性能、可靠性和可扩展性,成为全球范围内Web应用程序、企业级解决方案以及其他各种数据处理场景的首选数据库平台之一。 以下是对MySQL数据库的详细介绍: 核心特性与优势 ...
Java中的消息中间件与异步通信实现
技术研究中心
07-04 298
Java作为一种主流的编程语言,拥有丰富的消息中间件和异步通信实现,本文将深入探讨它们的原理、使用方法及相关的最佳实践。在上述例子中,我们使用CompletableFuture.supplyAsync方法来创建一个异步任务,然后通过future.get()方法获取异步任务的结果。在上述示例中,我们使用了Apache Kafka的Java客户端来创建一个生产者(Producer),并发送消息到名为"my-topic"的主题中。在微服务架构中,消息中间件是实现服务间通信和事件驱动架构的常见选择。
基于Hadoop平台的电信客服数据的处理与分析④项目实现:任务16:数据采集/消费/存储
qq_60872637的博客
07-03 963
数据生产”的程序启动后,会持续向callLog.csv文件中写入模拟的通话记录。接下来,我们需要将这些实时的数据通过Flume采集到Kafka集群中,然后提供给HBase消费。:是Cloudera提供的一个高可用的,高可靠的,分布式的海量日志采集、聚合和传输的系统,Flume支持在日志系统中定制各类数据发送方,用于收集数据;同时,Flume提供对数据进行简单处理,并写到各种数据接受方(可定制)的能力。适合下游数据消费者不多的情况,适合数据安全性要求不高的操作,适合与Hadoop生态圈对接的操作。
Kafka-服务端-网络层-源码流程
qq_35040959的博客
07-01 766
整体架构如下所示:responseQueue不在RequestChannel中,在Processor中,每个Processor内部有一个responseQueueKafkaServer是Kafka服务端的主类,KafkaServer中和网络成相关的服务组件包括SocketServer、KafkaApis和KafkaRequestHandlerPool。SocketServer主要关注网络层的通信协议,具体的业务处理逻辑则交给KafkaRequestHandler和KafkaApis来完成。
设计模式之观察者模式
最新发布
07-06 894
观察者模式(Observer Pattern)是一种行为设计模式,它定义了一种一对多的依赖关系,让多个观察者对象同时监听某一个主题对象。这个主题对象在状态上发生变化时,会通知所有观察者对象,使它们能够自动更新自己。
一个简单的spring+kafka生产者
日日留心的技术专栏
07-02 324
【代码】一个简单的spring+kafka生产者。
【Kafka】Kafka生产者开启幂等性后报错:Cluster authorization failed.
浩瀚宇宙的一粒尘埃
07-03 853
1. 用户业务需求,需要开启生产者的幂等性,生产者加了配置:enable.idempotence = true 2. 用户使用的集群开启了ACL认证:SASL_PLAINTEXT/SCRAM-SHA-512 3. 用户生产消息时报错:org.apache.kafka.common.errors.ClusterAuthorizationException: Cluster authorization failed.
[SWPU2019]伟大的侦探
07-27
回答: \[SWPU2019\]伟大的侦探是一个BUUCTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,我们可以得知在解密过程中得到了一个密码"comEON_YOuAreSOSoS0great",而在解密过程中还发现了一个密码"wllm_is_the_best_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值