这道题是强网杯的题,如果各位之前做过攻防世界有可能就知道强网杯代表着什么,代表着题很难,鹅鹅鹅,好了我们开始进入环境
进入环境后只看见了一段文字和一个文本框以及提交按钮,当然在这里我们还不能猜测出是用什么方式进行攻击,老规矩查看一下源代码看看有没有什么有价值的信息
可以看见源代码中说了一句sqlmap是没有灵魂的,那么就此可以判断出这道题应该是sql注入并且sqlmap是做不出来的,所以必须得是手工注入,那么手工注入就需要判断注入点在哪里,接下来就是图文解释了,太长了难的打字了
因为禁用了select语句,所以这里我们选择用堆叠注入
可以看见我们所输入的数据默认是存放在words表中的
现在这又两种解法,一种是修改表名然后传参,另一种是用预编译直接出flag
好了,到之里题就做完了,当然不可能会将payload写在这里,那样你们学不了什么东西,这里就是堆叠注入–>查库–>查表–>查列–>该表明–>出flag
BUUCTF——[强网杯 2019]随便注 1
最新推荐文章于 2023-10-26 10:12:27 发布