这是一个神奇的登录框(Bugku-web题 使用sqlmap注入实例)

最新推荐文章于 2024-08-16 15:32:55 发布
最新推荐文章于 2024-08-16 15:32:55 发布
阅读量1w 收藏 9
点赞数 4
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38412357/article/details/79559039
版权

正在学习sqlmap,拿这个题先入门一下。

题目链接:http://120.24.86.145:9001/sql/

先看下源代码:


是post提交,url明显提示是个sql注入,由于post提交,要sql和burp结合起来使用。

首先burp抓包,抓到包后选择存到txt文件中:(随便输入账号密码)


我保存到了D盘的1.txt里。

然后打开sqlmap,输入指令:sqlmap.py -r "D:\1.txt" -p admin_name --dbs

解释一下 -r是读文件 后面是刚才保存的绝对路径,-p是参数,也就是注入点(选了admin_name是注入点) --dbs意思是想获取数据库名字

可以看到sqlmap获得了数据库的名字:

最低0.47元/天 解锁文章
Risker_GML
关注
bugku ctf 这是一个神奇的登陆
qq_42777804的博客
08-02 982
打开后随便输入账号密码会出现 那就老规矩 burp抓包 当你使用 " 时 会报错 !!!tips:之后使用的sql注入是我写的第一篇sql注入格式的内容,感兴趣的可以看一下 https://blog.csdn.net/qq_42777804/article/details/81226567 admin_name=1"&admin_passwd=1&su...
mysql 登录注入_sqlmap之(六)----POST登陆注入实战
weixin_30698775的博客
01-19 685
利用sqlmap进行POST注入,常见的有三种方法:注入方式一:1.用Burp抓包,然后保存抓取到的内容。例如:保存为post.txt,然后把它放至某个目录下2.列数据库:sqlmap.py-r"c:\Users\fendo\Desktop\post.txt"-pn--dbs注:-r表示加载一个文件,-p指定参数其中出现了三次提示:it looks like the back-end D...
bugku----这是一个神奇的登陆
weixin_43803070的博客
07-07 513
sqlmap+burp结合完成的,打开一看是一个登陆架,url显示sql,想必是post型的sql注入。 查看注入点: 首先burp抓包,抓到包后选择存到txt文件中:(随便输入账号密码): root@kali:~# sqlmap -r '/root/桌面/2.txt' -p admin_name --dbs// -r是读文件 后面是刚才保存的绝对路径,-p是参数,也就是注入点(选了a...
BugKu CTF Crypto:EasyMath & 缝合加密 & 一段 Base64 & 奇怪的密码
最新发布
Flag少侠的博客
08-16 8270
BugKu一个由乌云知识库(wooyun.org)推出的在线漏洞靶场。乌云知识库是一个致力于收集、整理和分享互联网安全漏洞信息的社区平台。BugKu旨在提供一个实践和学习网络安全的平台,供安全爱好者和渗透测试人员进行挑战和练习。它包含了各种不同类型的漏洞场景,如Web漏洞、系统漏洞、密码学等,参与者需要通过解决这些漏洞来获取Flag。
bugku-这是一个神奇的登陆(附代码)(详细)
偷一个月亮
06-20 894
目链接:http://123.206.87.240:9001/sql/ 数据库 表名 列名 select flag 代码 admin_name=admin" union select database(),database() #&admin_passwd=12345&submit=GO+GO+GO admin_name=admin" union select (s...
CTF-WEB 一个登录SQL盲注
热门推荐
weixin_45887311的博客
04-24 1万+
一些师兄给了个平台,最近学了很多SQL注入和编写脚本的知识,跃跃欲试,结果这一做就是漫漫长路,还是很多东西不熟悉啊。 首先找注入点: 发现用户名错误和密码错误会分开提示,可以用布尔盲注,(*^▽^*)好高兴。 但是发现,过滤了空格和 *号,没关系,用括号绕过(这一下搞死我了) 开始尝试编写脚本,结果发现简单的reuqests解析不了<div>标签下的内容 ...
CTF目 [成绩查询 - Bugku CTF]union注入sqlmap的入门使用,两种方法一道
07-16
### CTF目 [成绩查询 - Bugku CTF]union注入sqlmap的入门使用 #### 知识点一:SQL注入基础与Union注入原理 **SQL注入**是一种常见的网络安全攻击方式,通过将恶意SQL代码插入应用程序接收的数据中,进而操纵...
Web安全--SQL注入sqlmap扫描实例
m0_37786014的博客
03-05 1600
一、sqlmap简介 sqlmap就是一个用来做sql注入攻击的工具 二、实例操作 这是我们本次进行sql注入攻击实例的地址:是我自己本地搭建的kali 方法一:手动攻击 1. 确定注入的类型 (1) - 操作一:在搜索中输入:1 结果:正确得到搜索结果 - 操作二:在输入中输入 1’ 结果: 根据报错内容可知,原本这里是个字符。 红色标注里就是报错的地方,这里显示多了一个’号 2. ...
CTF---Web---SQL注入---01---万能密码+sqlmap
qq_22160557的博客
07-29 3726
文章目录前言一、目描述二、解步骤1. 万能密码登录2. sqlmap爆库3. 爆表4. 爆列5. 爆字段三、总结 前言 目分类: CTFWeb—SQL注入—01—万能密码+sqlmap 一、目描述 目:SQL注入 链接:192.168.87.172 二、解步骤 1. 万能密码登录 Step1:尝试万能密码:user=‘=’,pass=‘=’,输入后登录成功,注入点在此 2. sqlmap爆库 Step2:源代码中提示,提交方法为POST,所以此sqlmap的post注入,采用kai
渗透测试 ( 6 ) --- SQL 注入神器 sqlmap
墨鱼菜鸡
07-11 3102
sqlmap 官网:http://sqlmap.org/ sqlmap文档地址:https://github.com/sqlmapproject/sqlmap/wiki/Usage sqlmap 使用 思维导图:http://download.csdn.net/detail/freeking101/9887831 黑帽与白帽都喜爱的十大SQL注入工具:...
CTF逆向(reverse)入门脑图
10-25
CTF逆向(reverse)入门脑图,xmind格式文件。Reverse即逆向工程,目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。主要考查参赛选手的逆向分析能力。 仅供CTF竞赛参考使用,请不要做违法乱纪的事情
BugkuCTF 这是一个神奇的登陆
3tu6b0rn的博客
05-15 364
post注入 直接跑sqlmap吧 抓包到本地 sqlmap.py -r "C:\Users\联想\Desktop\1.txt" admin_name存在注入点 查数据库 sqlmap.py -r "C:\Users\联想\Desktop\1.txt" --dbs sqlmap.py -r "C:\Users\联想\Desktop\1.txt" -D bugkusql1 --tabl...
DC-1 登录的sql注入
a_153161的博客
12-04 1183
DC-1登录的报错注入
HTB_Appointment 靶机之登录万能密码、sqlmap post 注入
网络安全学习
04-22 4113
⚔ 🧱 YOU NEED TO WALK BEFORE YOU CAN RUN 🧱⚔ 文章目录先放答案万能密码注入sqlmap post 注入测试是否存在注入查数据库查表查列查数据 先放答案 因为这期问都比较简单,简单到我想不到讲什么把它们串到一起,索性就直接放答案了 Structured Query Language SQL Injection personally identifiable information A03:2021-Injection Apache httpd 2.4.38 ((.
一道简单的CTF登录
anquanniu的博客
03-06 8260
一、解感受 这道50分,在实验吧练习场算比较高分,而且通过率只有14%,比较低的水平。 看到这两个数据,一开始就心生惬意,实在不应该呀! 也是因为心态原因,在发现test.php之后,自以为在SQL注入时只要能截断后面的SQL语句,FLAG就在user里面,尝试了一段时间SQL注入都失败后,有些急躁,然后就早早拜读了pcat大神的攻略。。。 在攻略的帮助下,顺利完成目。 所以本文主要是在pc...
Bugku-webctf模拟sql注入神奇的登陆
嘟的博客
09-30 1584
title: Bugku-webctf模拟sql注入神奇的登陆 tags: web破解 categories: 渗透测试 这是Bugku-web,地址为http://123.206.87.240:9001/sql/ 登陆网站,打开burp进行截断,账号密码随便打,burp截取后进行保存。 使用sqlmap自动注入,可以发现数据库版本,数据库名 使用sqlmap自动注入,发现表...
利用sqlmap进行需要登录注入
qq_52358808的博客
09-01 2033
需要登录注入1.利用bp获取cookie2.利用sqlmap获取用户名密码 1.利用bp获取cookie 2.利用sqlmap获取用户名密码 cookie注入命令:sqlmap.py -u 注入点 --cookie=”获取的cookie” sqlmap.py -u http://127.0.0.1/DVWA/vulnerabilities/sqli/?id=1&Submit=Submit --cookie=“security=low; PHPSESSID=9djnnv81n3lmgmu4sno9
sqlmap中文使用手册:自动化SQL注入工具详解
"sqlmap一个强大的自动化SQL注入工具,用于检测和利用Web应用程序中的SQL注入漏洞。它能够识别多种数据库管理系统,获取数据库信息、表名、列名,甚至读取系统文件。此外,sqlmap还支持多种功能,如绕过WAF、HTTP...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值