BUUCTF【极客大挑战2019】EasySQL

已于 2023-09-22 21:35:44 修改
阅读量107 收藏
点赞数
分类专栏: BUUCTF 文章标签: 安全
于 2023-09-06 10:55:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73818758/article/details/132710155
版权

打开题目链接,发现是一个登录界面

随便输一个账号密码尝试登录

登录失败,判断是否存在SQL注入漏洞,输入用户名admin' 密码admin'

根据提示可以看出确实存在SQL注入漏洞,在这里我们可以尝试使用万能密码进行登录

万能密码表

这里使用用户名admin 密码'or '1' = '1 登录

登陆成功,得到flag:

flag{c49ec243-a642-4d04-a6ff-2346b3ce79c9}

Wz0beu-淤青
关注
专栏目录
BUUCTF在线测评之[极客挑战 2019]EasySQL 1
weixin_49182737的博客
03-03 5466
启动靶机 只给了一个地址,点击进去即是靶机 可以看到这是一个登录页面 虽然靶机信息那已经提示我们这是一个EasySql,结合靶机页面是登录页面,把八九不离十的可以确定这一题是考察SQL注入的,并且Easy提示我们,是简单的sql注入。 BUT出于一个网安爱好者的心态,我们还是要简单看一下这个页面的信息,说不定出题者挖坑呢 。。。 虽然结果是然并卵 所以还是老老实实听提示试sql注入吧 这里安利一下firefox,这浏览器可以在拓展里装Hackbar,一款房间寻找web安全bug的插件 一个不太好的信息时
【WEB】[极客挑战2019]EasySQL WP
Miscedence__的博客
04-15 367
0X0000000000000001 审题 其实由题目可以知道这是道SQL注入,然后看到登录,首先尝试万能密码: admin’ or ‘1’='1 如名字所说,这是一道很ez的SQL注入 通过这道题,我们来延伸一下其他东西 0X0000000000000002 关于万能密码 为什么在注入的时候输入万能密码就可以进入呢,对于所有万能密码,都是”万能“的吗? 那么首先,让我们清楚 SQL注入-万能密码的注入原理 0_用户进行用户名和密码验证时,网站需要查询数据库,查询数据库就是执行SQL语句 //
buuctf [极客挑战 2019]EasySQL
qq_1873822的博客
03-02 248
打开题目是一个登陆界面,也没发现注册功能,猜测是sql注入进去 在用户名或密码处输入单引号发现报错,存在sql注入 在报错信息中是字符类的sql注入,通过sql“万能密码”来直接登录进去 用户名:admin'or'1'='1 密码:admin'or'1'='1 如果账号密码不对(or前面),就会执行or后面的’1’='1’这是一个恒真的,我们使用错误的账号密码来达到了登录成功的目的。 登陆成功~ ...
BUUCTF [极客挑战 2019]EasySQL
qq_68581192的博客
07-05 395
可以发现是与上面有不同回显的,可知是单引号注入,可以用 ’ 闭合查询语句和 or 绕过再结合 # 注释符。输入用户名1’ or 1=1#,密码1,flag显示如下图。发现显示错误,我们再试试输入用户名1’,密码1,显示如下图。先尝试输入用户名1和1",密码1,显示均为下图。
[极客挑战 2019]EasySQL1
最新发布
m0_73759843的博客
07-06 209
一个登录框,使用万能密码:' or 1=1#
BUUCTF[极客挑战 2019]EasySQL
GUOGUO的博客
04-15 350
BUUCTF[极客挑战 2019]EasySQL 进去之后,可以看到如下页面: 直接万能管理员账号以及万能密码: 账号:admin 密码:1’ or 1=1# 可以直接登录。登陆成功后显示: 020454966)] 得到flag
BUUCTF-[极客挑战 2019]EasySQL
FY_13_14的博客
11-19 2724
1.首先打开这个web,打开之后是这样的 2.我刚开始其实是准备了burp抓包和控制台。但是我试了下万能密码 SQL注入的万能密码: 1.'or 1=1# 2.'or 1=1-- 3.'or '1'='1 在第一个就成功了
BUUCTF Web[极客挑战2019] EasySQL
qq_36348811的博客
03-28 335
问题分析 题目类型是Web类型,而且是一个登录页面,首先考虑是否是SQL注入。 先尝试闭合方式,输入1,1’,1"判断,当输入为1’时报错,所以判断结果语句应该为单引号闭合。 根据报错信息,尝试注入,在此之前了解一下万能用户名和万能密码。 补充知识 所谓的万能密码就是绕过登录验证直接进入管理员后台的密码,这种类型的密码可以通用到很多存在此漏洞的网站,所以称之为万能。 最常用的管理员用户名:admin root user test guest select * from table_na
[极客挑战 2019]EasySQL 1
08-24
- *1* *2* *3* [BUUCTF-[极客挑战 2019]EasySQL1](https://blog.csdn.net/qq_46918279/article/details/120105677)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
Buuctf-Web-[极客挑战 2024]EasySQL 1 题解及思路总结(1)
2401_84281594的博客
04-28 749
(但是在本题中有两个变量,这个方法不太适用)
Web之buuctf-[极客挑战 2019]EasySQL
qq_43682582的博客
03-24 114
buuctf-[极客挑战 2019]EasySQL 进入链接: 题目已知为sql注入,然后有输入框,首先尝试使用万能密码: 很意外的就获取到了flag:
BUUCTF-[极客挑战 2019]EasySQL1
Monica的博客
09-04 1718
目录 题目: 知识点: 分析: 题目: 知识点: mysql 中and和or的优先级 ()> and > or sql="select * from DB where user_id=1 or user_name='张三'and birthday='2000-03-03'" 1.该条sql 表示从 DB 中查询出user_id =1 或者 (user_name='张三'并且 birthday='2000-03-03') 的数据 sql="select...
极客挑战 2019EasySQL
Lixunzhe0112的博客
01-17 415
admin ’ or 1=1 # + admin //之后又尝试了password后面也是可以进行注入的。尝试用admin+admin进行登陆给出:NO,Wrong username password!然后尝试在uasername后进行sql注入。登陆成功,并且给出了flag。
[极客挑战 2019]EasySQL
Sk1y的博客
12-18 537
[极客挑战 2019]EasySQL 打开题目,是一个登录界面,在用户名中输入万能密码 1' or 1=1# 试一下,密码随意写 就这样登录成功了!同时得到了flag{d94b525b-a323-4d69-b6b1-210a8e824572} 然后又试了一下,用户名和密码中只要有一个是1' or 1=1#,就可以登录成功。 上述是实际解法,如果想要更加了解原理的话,推荐一个师傅的wp——绕圈子的解法 这个师傅讲得很透彻!!! ...
buuctf 极客挑战2019php
08-24
buuctf 极客挑战2019php是指buuctf举办的一个PHP编程比赛,它是基于阿里云IoT技术平台的创新挑战赛。在该比赛中,参赛者需要利用PHP编写代码解决一系列技术难题。这些问题可能涉及到序列化、反序列化、变量值的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值