CTF学习第十站——BUUCTF[极客大挑战 2019]EasySQL1

最新推荐文章于 2024-04-28 04:08:50 发布
最新推荐文章于 2024-04-28 04:08:50 发布
阅读量148 收藏 1
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41174589/article/details/133505423
版权

题目:

根据题目名称,此题主要考SQL语句

抓包后我们发现,该网页的请求方式为GET

尝试输入常见用户名密码并抓包

尝试使用SQL万能密码,得到flag

如果输入的SQL语句有错,会出现如下界面。

SQL万能密码

确认输入的账号密码是否正确是访问数据库的过程,只要表达式的返回值为真则可以访问

表达式1=1的返回值为真

_FaLan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BUUCTF[极客挑战 2019] EasySQL 1
m0_75178803的博客
06-12 4017
因为这道题是基于sql单引号的注入,我们构造万能密码,#在sql注入中是注释符。题目来源:BUUCTF [极客挑战 2019] EasySQL 1。用or连接,因为1=1恒真,假或真=真,真或真=真,所以这个语句恒成立。输入 1' union select 1,2,3。查看报错信息发现是基于单引号的注入。由一道题简单引出万能密码的知识点。这是查询数据库可能会用到的句型。只有当输入1’时,页面报错。直接在用户名或者密码区输入。只有当列名字段数为3时,
BUUCTF】[极客挑战 2019]EasySQL 1
qq_45972928的博客
05-06 938
根据题目可知,这是大概率是一道SQL注入题 知识点——万能密码原理: 原本查询username = ’username‘,我们要尝试对引号进行闭合,所以当username=1’ or’1’='1时,id = '1’ or ‘1’=‘1’,成功闭合了两边的引号并加上了我们写的语句 1、进入网 2、尝试登录 3、加单引号,双引号等方法粗略判断是否存在注入 4、可以看到存在注入点,而且这是极大可能是一个单引号的字符型注入。尝试单引号相关的万能密码 username=1’ or ‘1’=‘1&
Buuctf-Web-[极客挑战 2024]EasySQL 1 题解及思路总结
最新发布
2401_84281594的博客
04-28 619
SQL注入在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Buuctf web [SUCTF 2019]EasySQL
m0_61903191的博客
09-13 1134
又是一道考察sql注入的题。
[极客挑战 2019]Havefun1、EasySQL(BUUCTF)
HackerYY的博客
12-31 2127
[极客挑战2019]的两道水题 内附解题过程
BUUCTFEasySQL [SUCTF 2019]
金 帛的博客
04-18 2826
BUUCTF的WP
CTFShow-周末大挑战parse-url篇Writeup
05-19
这篇Writeup主要涉及的是CTF(Capture The Flag)挑战中的Web安全领域,特别是URL解析漏洞的利用。CTF是一项网络安全竞赛,参与者通过解谜、破解密码等方式获取“国旗”(Flag),在这里指的是挑战的答案或关键信息...
青少年ctf擂台挑战赛 2024 #round 1
04-16
青少年ctf擂台挑战赛 2024 #round 1
逐鹿中原极客之光——记首届Real World国际CTF网络安全大赛.pdf
09-20
逐鹿中原极客之光——记首届Real World国际CTF网络安全大赛.pdf
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分,
国科大web安全中期CTF.pdf
11-22
国科大web安全中期CTF 在这篇文章中,我们将探讨国科大web安全中期CTF的相关知识点。 一、Web安全基础知识 在开始之前,让我们先了解一些基本概念。Web安全是指保护Web应用程序免受恶意攻击和未经授权的访问的...
buuctf(EasySQL)
qq_75005708的博客
04-12 230
发现过滤了flag,看了其它的wp,这道题是内部查询语句,想让||不是逻辑或,用sql_mode去转换它,设置。sql_mode它定义了 MySQL 应支持的 SQL 语法,以及应该在数据上执行何种确认检查。还有就是这个模式下进行查询的时候,使用字母连接会报错,使用数字连接才会查询出数据,因为这个。然后我们接着查 1;回显为1,我们接着查看表 1;2.我们查看数据库 1;0就没有什么回显,然后我们去看看源代码。也只有看出post,其它也没有什么。回显是1,我们再看看0。然后我们先输入1看看。
BUUCTF-[SUCTF 2019]EasySQL1
Monica的博客
09-09 2514
题目: 分析: 先尝试输入。 输入非0数字的时候会有一个回显 输入大小写字母的时候没有回显 判断是什么闭合:输入1#能输出,而输入 1' 和1'#没有输出,"被过滤掉,大致上可以按照数字型进行猜测。 输入特殊字符也没有报错回显,所以报错注入基本上没戏了 输入很多关于sql语句的东西(and,or,union,if,order from )都会显示Nonono,所以联合查询也没戏 再尝试时间盲注 ,sleep也被ban了,时间盲注也不行 再尝...
BUUCTF [SUCTF 2019]EasySQL1 做题笔记/心得(自留)
m0_74449411的博客
10-29 243
本篇并不作为一篇write up,仅记录自己的部分观点以及思考过程,此题在该上已经有了许多优质题解,大家可以先去熟悉题目以及解法思路之后再来阅读该篇文章,而笔者作为一名web新人,基础较差,很多地方看待问题存在钻牛角尖以及常识缺乏问题,欢迎大家提议讨论,在不久的将来如果实力成熟,也会再次回过头来回顾自己如今的思考过程以及产生误区的原因进行分析。
ctf(EasySQL)
Glacier_Mount的博客
10-07 586
查询语句的简单猜测
[SWPUCTF 2021 新生赛]easy_sql
2301_80593203的博客
02-16 639
1. 是否存在注入并且判断注入类型2. 判断字段数 ' order by 数字 -- '3. 确定回显点 -1 ' union select 1,2 -- '4. 查询数据库信息 @@version @@datadir5. 查询用户名,数据库名 user() database()
[swpuctf 2021 新生赛]easy_sql
2302_80044238的博客
01-27 531
回车如图:(依次获取此表中的列名发现第二个字段便是flag我们直接找它里面的数据即可)1,2,3...依次增加直到页面显示查询不到最终发现是三个字段。然后我们可以在url栏上面看到参数是wllm。如图:(是查到第四个字段时查不到的结果)回车如图:(依次获取可知共有两个表)下一步直接获取flag中的数据即可。得到库名为:test_db。得到flag将其提交即可。进入页面我们可以看到。
【网络安全 | CTF】攻防世界 very_easy_sql 解题详析(gopher协议+ssrf漏洞sql注入+盲注脚本)
等风来
08-01 7807
登录处直接注入会提示you are not an inner user, so we can not let you have identify~查看源代码发现use.php,访问后猜测该题为基于ssrf漏洞的sql注入:因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入。
[SWPUCTF 2021 新生赛]easy_sql - 联合注入||报错注入||sqlmap
oZuoShen123的博客
10-06 692
得到:XPATH syntax error: ‘~NSSCTF{82bf2238-f61d-41f1-b103-’最终:flag=NSSCTF{82bf2238-f61d-41f1-b103-848e28154cee}得到:XPATH syntax error: ‘~ test_tb,users ~’得到:Your Login name:xxx Your Password:yyy。得到:XPATH syntax error: ‘~ id,flag ~’说明无回显,尝试报错注入。表为:test_db。
[极客挑战 2019]BuyFlag
07-29
- *2* *3* [CTF学习笔记——[极客挑战 2019]BuyFlag](https://blog.csdn.net/Obs_cure/article/details/113820888)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值