CTF实验吧-WEB专题-2

最新推荐文章于 2023-09-25 22:17:14 发布
最新推荐文章于 2023-09-25 22:17:14 发布
阅读量7.5k 收藏 4
点赞数 3
分类专栏: 无尽防御-CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18661257/article/details/53745960
版权

1.简单的sql注入之2

这里写图片描述

题解

我们先单引号试一下发现报错,所以基本存在注入,然后我们用空格会爆SQLi detected!因此被过滤了,发现+还是%a0这些编码都会报错,所以只能用万能空格替代/**/,然后测试是否含有flag表,接着测试是否含有flag列,然而并没有什么卵用,因为这货竟然过滤了左右括号,无法用exists判断flag表是否存在,同时由于左右括号不能用,为了让判断flag表存在的语句先运行变成了不可能,所以只能猜测存在flag表和flag列然后写下命令
1'/**/union/**/select/**/flag/**/from/**/flag#
即可获得flag
坑啊

2.简单的sql注入

最低0.47元/天 解锁文章
77458
关注
专栏目录
CTF实验吧-WEB专题-5
qq_18661257的专栏
12-22 6036
1.上传绕过 题解 题目说是绕过,那就绕过吧,发现,上传除了php文件外会报需要传php文件,而传php文件则会报必须上传.jpg这些图片文件,那就从上传漏洞开始吧,一般常见的上传漏洞就是截断了,是0x00数据会截断后续数据,当数据为abc.php0x001.jpg时,服务器会处理为abc.php,而0x00后的数据会忽略(产生原因magic_quotes_gpc未打开,同时相关数据没有进行处理
关于CTF的基础知识
最新发布
2201_75735270的博客
08-10 1057
CTF比赛一般分为线上赛和线下赛。通常来说,线上赛多为初赛, 线下赛多为决赛, 但是也不排除直接进行在CTF中主要包含以下5个大类的题目,有些比赛会根据自己的侧重点单独添加某个分类,例如移动设备(Mobile)电子取证(Forensics)等,近年来也会出来混合类型的题目,例如在Web中存在一个二进制程序,需要选手先利用Web的漏洞获取到二进制程序,之后通过逆向或是Pwn等方式获得最终flag
实验ctf
四盘山博客
07-25 3276
1/登陆一下好吗??http://ctf5.shiyanbar.com/web/wonderkun/web/index.html =' =' ctf{51d1bf8fb65a8c2406513ee8f52283e7} 2/who are you ? http://ctf5.shiyanbar.com/web/wonderkun/index.php import requests impor
CTF-实验吧Once More
才不是小弱鸡的博客
05-10 1187
题目地址:http://www.shiyanbar.com/ctf/1805这是题目的提示,根据社会工程学的方法找到了ereg的漏洞(其实就是百度。。。)漏洞是ereg函数存在截断漏洞。这里表示输入的password必须是大小写字母和数字这句表示password长度要小于8且大小要大于9999999,这不是自我矛盾嘛嘤嘤嘤。其实这里可以用科学记数法传参,password=1e9就行啦~这句表示pa...
ctf实验吧,后台登陆wp
qq_42728977的博客
07-29 415
暑假刷题系列: 看到这道题的界面大致判断是注入 输入’ or 1=1,无果后,看看源码吧,右键看源码,如下: <!-- $password=$_POST['password']; $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; $result=...
为什么select * || flag from flag 不行呢?
wojiushilsy的博客
04-27 1609
首先*(星号)在SQL语句中有特殊的意义。应该是保留字或关键字 (没找到*(星号)属于什么) 。 所以你直接使用 select * || flag from flag 会报语法错误。 实验一: 这是一张表 查询语句 SELECT *||mpassword FROM rjqm.manager; 结果: 和查询语句 SELECT .||mpassword FROM rjqm.manager; 结果是...
CTF实验吧-WEB专题-4
qq_43679771的博客
11-14 262
CTF实验吧-WEB专题-4
CTF实验吧-WEB专题-3
qq_18661257的专栏
12-21 3166
1.安女神之名 题解 通过题目我们知道,要输入安女神,发现直接输入安女神会报英文,然后就恢复到原页面了,删除cookies后才能看到最开始的原界面,然后就是各种编码了,使用了XEESS来处理,发现可以显示安女神但是得不到flag,基本可以确定是另外一种编码,然后用unicode编码,就可以成功了,成功得到flag.2.思路很重要 题解 通过查看源代码,可以发现代码没有删除,所以应该是有备份或
CTF实验吧-WEB专题-6
qq_43679771的博客
11-14 264
CTF实验吧-WEB专题-6
BUUCTF复现记录1
baochigu0818的博客
08-20 969
平台地址:https://buuoj.cn/ 里面很多之前的题目,不错的平台。另外幕后大哥博客https://www.zhaoj.in/ 以下的解题,都是参考各位大佬的WP去复现,重在记录下解题思路 以及了解一些常规姿势。 [CISCN2019 华北赛区 Day2 Web1]Hack World 题目是这样的 已经知道了表名和,列名,只需要想办法读取里面的内容...
CTFHub | 过滤目录分隔符
尼泊罗河伯的博客
07-21 1266
检查网页源代码发现这题如果有 / , \ , \\ 就不会执行,说明这题对斜杠做了过滤处理。这里使用 HackBar 进行测试,在 URL 后输入 /ip=127.0.0.1 对本地进行 ping 命令测试,发现可以正常回显。
CTF基础知识
m0_65849838的博客
04-26 6304
文章目录一. CTF简介1.开启题目并点击题目附件2.得到正文和flag①正文②FLAG二.竞赛模式1.开启题目并点击题目附件2.正文和flag①正文理论知识Jeopardy-解题AwD-攻防模式AWP-攻防增强RHG-自动化[ AI自动化]RW-真实世界KoH-抢占山头Mix[混合]②flag三.比赛形式1.开启题目并点击题目附件2.正文和flag①正文线上线下②flag四.题目1.开启题目并点击题目附件二.正文和flag①正文WebPwnReverseCryptoMisc②flag 一. CTF简介 1
实验web题--注入类
yisosooo的博客
09-06 796
1、登陆一下好吗 SQL语句:select * from user where username='用户名' and password='密码' 尝试1'='1并没有得到flag,因为表中没有username=1。于是通过构造1'='0进行注入,并且得到flag。执行的语句为select * from user where username='1'='0' and password='1'='
python sql注入漏洞 ctf_CTF 中的 SQL 注入总结
weixin_39641334的博客
12-09 888
flag 常见表1select flag from flagSQL 注入的基本原理123select * from user where username='' and pass=''# 构造 username=devnull' or '1后,sql 语句变成select * from user where username='devnull' or '1' and pass=''SQLMap1p...
buuctf web小结
qq_42551635的博客
04-25 4696
你传你*呢 .htaccess文件 AddType application/x-httpd-php xxx 本句话的作用是使该.htaccess文件所在目录及其子目录中的后缀为.xxx的文件被Apache当做php文件 一个傻逼错误 var/www/html 是网站根目录,也就等价于 http://55f19d33-bd47-48ac-9734-232c1632f237.node3.buuoj.cn 所以蚁剑里链接时不能重复输入 题解 上传.htaccess文件(注意绕过MIME) 然后上传图片马 ,o
CTF之misc-图片隐写
热门推荐
Battery的博客
05-03 15万+
一·隐写术的介绍 隐写术是一门关于信息隐藏的技巧与科学,所谓信息隐藏指的是不让除预期 的接收者之外的任何人知晓信息的传递事件或者信息的内容。隐写术的英文 叫做Steganography,来源于特里特米乌斯的一本讲述密码学与隐写术的著 作Steganographia,该书书名源于希腊语,意为“隐秘书写”。 二.图片隐写 1.常用工具 HexWorkshop Stegsolve Binwalk dd命令 2.查看十六进制,用HexWorkshop将图片打开,搜索flag等关键字或翻到最后,可能会
网络安全CTF夺旗赛入门到入狱-入门介绍篇
2201_75735270的博客
09-25 971
flag是指一串具有一定格式的字符串或其他内容,flag可能来自于一台远端的服务 器,一个复杂的软件,也可能隐藏在一段通过密码算法或协议加密的数据,或是一 组网络流量及音频视频文件中。选手需要综合利用自己掌握的安全技术,并辅以快 速学习新知识,通过获取服务器权限,分析并破解软件或是设计解密算法等不限定 途径来获取flagCTF攻防模式。
记BuuCTF-Writeup
m0_61596829的博客
06-01 574
BuuCTF Web: Misc: Crypto:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值