BUUCTF 极客大挑战2019 EasySQL

最新推荐文章于 2024-05-03 21:13:16 发布
最新推荐文章于 2024-05-03 21:13:16 发布
阅读量195 收藏 1
点赞数
文章标签: html 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60397796/article/details/133444459
版权

启动靶机后进入
界面如图

 看一下源代码

前面style 跳过

<body background="./image/background.jpg" style="background-repeat:no-repeat ;background-size:100% 100%; background-attachment: fixed;" >
        <form action="check.php" method="GET">
                <div>
                        </br></br></br></br>
                        <p style="font-family:arial;color:white;font-size:20px;text-align:center;font-family:KaiTi;">我是cl4y,是一个WEB开发程序员,最近我做了一个网站,快来看看它有多精湛叭!</p>
                        </br></br></br></br></br></br></br>
                        <p style="font-family:arial;color:white;font-size:20px;text-align:center;">用户名:</p>
                        <div align="center"><input type="text" name="username" style="text-align:center;" class="input" /></div>

                        <p style="font-family:arial;color:white;font-size:20px;text-align:center;">密  码:</p>
                        <div align="center"><input type="text" name="password" style="text-align:center;" class="input" /></div>

                        <div align="center">
                                <input type="submit" value="登录" class="slickButton3">
                        </div>
                </div>
        </form>

        <div style="position: absolute;bottom: 0;width: 99%;"><p align="center" style="font:italic 15px Georgia,serif;color:white;"> Syclover @ cl4y</p></div>
        
</body>

好像没什么特别的,试试万能密码 ’or '1'='1

 成功了

 复制flag粘贴即可

万能密码原理:万能账号密码使用详解,黑客常用的入门级操作-CSDN博客

刚刚开始学ctf,写个WP记录一下

迟早不会颓废
关注
BUUCTF(web:1-50)
Mccc_li的博客
04-24 3173
[HCTF 2018]WarmUp 打开网页发现是一个滑稽,查看源代码: 访问这个网页: 分析代码: 1.首先可以看到它定义了一个类,类里面有个checkFile函数 2.然后有一个判断条件要求我们传入的file参数不为空,并且是字符串,然后可以通过checkFile的验证 3.如果满足的话就包含我们传入的参数 checkFile函数: 首先设置了一个白名单数组: 有两个元素source.ph...
【CTF】buuctf web 详解(持续更新)
m0_67403240的博客
09-12 662
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
BUUCTF WEB [极客挑战 2019]Secret File
Y1da的博客
04-09 1898
BUUCTF WEB [极客挑战 2019]Secret File 启动后效果如下 F12查看源代码 <!DOCTYPE html> <html> <style type="text/css" > #master { position:absolute; left:44%; bottom:0; text-align :center; } p,h1 { curso
重生之我是web开发程序员
m0_51930376的博客
03-21 6943
这里写目录标题❤️html定义一个类并引用❤️html中的label标签❤️id属性❄️Class 与 ID 的差异❄️通过 ID 和链接实现 HTML 书签❤️name属性❄️定义和用法❤️value属性 ❤️html定义一个类并引用 <!DOCTYPE html> <html> <head> <style> .cities { background-color:black; color:white; margin:20px;
第五十八题——[极客挑战 2019]FinalSQL
分享简单的安全技术
05-08 815
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,看到sql测试框,以及1,2,3,4,5超链接 第二步:测试漏洞点 点击1超链接后出现NO! Not this! Click others~~~字样,在URL地址栏添加^2后发现注入点 第三步:获取flag 由于^一般适用于盲注猜测ASCII码值,所以这里使用盲注获取flag 手动测试回显字样:输入http://d9cc6ff9-ac2f-4193-985d-dce132ad08bd.node3.buuoj.
极客挑战2019-SQL注入五题PW
cainsoftware的博客
09-23 1299
01、[极客挑战2019]EasysQL 02、[极客挑战2019]LovesQL 03、[极客挑战2019]BabysQL 04、[极客挑战2019]HardsQL 05、[极客挑战2019]FinalsQL Pass-01 第一题无须太多花里胡哨的直接就是万能密码 payload:admin' or 1=1 -- qwe Pass-02 题目提示 不在当前表 直接先用万能密码测试闭合 提示登录成功 说明闭合是没有问题的 那么下面就是判断其他...
BUUCTF在线测评之[极客挑战 2019]EasySQL 1
weixin_49182737的博客
03-03 5484
启动靶机 只给了一个地址,点击进去即是靶机 可以看到这是一个登录页面 虽然靶机信息那已经提示我们这是一个EasySql,结合靶机页面是登录页面,把八九不离十的可以确定这一题是考察SQL注入的,并且Easy提示我们,是简单的sql注入。 BUT出于一个网安爱好者的心态,我们还是要简单看一下这个页面的信息,说不定出题者挖坑呢 。。。 虽然结果是然并卵 所以还是老老实实听提示试sql注入吧 这里安利一下firefox,这浏览器可以在拓展里装Hackbar,一款房间寻找web安全bug的插件 一个不太好的信息时
WEB】[极客挑战2019]EasySQL WP
Miscedence__的博客
04-15 384
0X0000000000000001 审题 其实由题目可以知道这是道SQL注入,然后看到登录,首先尝试万能密码: admin’ or ‘1’='1 如名字所说,这是一道很ez的SQL注入 通过这道题,我们来延伸一下其他东西 0X0000000000000002 关于万能密码 为什么在注入的时候输入万能密码就可以进入呢,对于所有万能密码,都是”万能“的吗? 那么首先,让我们清楚 SQL注入-万能密码的注入原理 0_用户进行用户名和密码验证时,网站需要查询数据库,查询数据库就是执行SQL语句 //
2024年网络安全最新Buuctf-Web-[极客挑战 2024]EasySQL 1 题解及思路总结
最新发布
2401_84264096的博客
05-03 1100
例如输入1)、1"、1-等,这些数字后面的字符不是闭合符,所以数据库会把这些输入的错误数据转换成正确的数据类型。但是,若输入的数字后面的字符恰好是闭合符,则会形成闭合。原理:当闭合字符遇到转义字符时,会被转义,那么没有闭合符的语句就不完整了,就会报错,通过报错信息我们就可以推断出闭合符。时,没有SQL语句报错,只是提示我们输入的值是不对的,因此我们可以先假设SQL语句闭合方式是单引号。分析报错信息:看\斜杠后面跟着的字符,是什么字符,它的闭合字符就是什么,若是没有,就为数字型。可知此页面与数据库产生交互。
Buuctf-Web-[极客挑战 2024]EasySQL 1 题解及思路总结(1)
2401_84281594的博客
04-28 772
(但是在本题中有两个变量,这个方法不太适用)
BUUCTF Web[极客挑战2019] EasySQL
qq_36348811的博客
03-28 347
问题分析 题目类型是Web类型,而且是一个登录页面,首先考虑是否是SQL注入。 先尝试闭合方式,输入1,1’,1"判断,当输入为1’时报错,所以判断结果语句应该为单引号闭合。 根据报错信息,尝试注入,在此之前了解一下万能用户名和万能密码。 补充知识 所谓的万能密码就是绕过登录验证直接进入管理员后台的密码,这种类型的密码可以通用到很多存在此漏洞的网站,所以称之为万能。 最常用的管理员用户名:admin root user test guest select * from table_na
第二题——[极客挑战 2019]EasySQL
分享简单的安全技术
03-31 158
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,发现一个登录页面,由于题目给出提示,使用SQL注入进行攻击 第二步:构造SQl语句,使其通过登录检测 用户名一栏输入a' or '1'='1 密码一栏输入b' or '1'='1 点击登录,发现flag:flag{d0c260b5-1d98-4962-ac9a-501f791cc5c6} ...
BUUCTF [极客挑战 2019]EasySQL
m0_49025459的博客
04-06 278
题目 这题啊很快奥,我就想用个永真表达式测试一次,结果一下子就出来了 admin' or '1'='1 登录
听说你是程序员的,给我网站
qq_24520459的博客
07-02 527
web前端教程用大白话,来讲编程有一种关系叫:很久没联系的旧同学(朋友)。他们也许会在某一天QQ上找到了你,寒暄几句就进入“正题”:听说你是程序员软件开发的,帮我...
Web开发
weixin_54044338的博客
03-06 6543
什么是web开发web开始需要学习什么?
我是一名程序员
weixin_40876133的博客
09-07 352
  睡觉写代码两部曲 他们都是Manager 我地位低下 代码在我的生活无处不在 最后小编在这里给大家推荐一个java学习群:818464711,进群找管理可以领取免费学习资料,以及每天可以免费去听直播java教学,欢迎小白和进阶中的朋友!...
CTF例题合集(1)
weixin_51339377的博客
08-25 6832
判断出来闭合是单引号 接下来构造完整的闭合语句 发现回显正常 说明闭合差不多成功!可以使用and 1=1 和and 1=2进行控制性测试 这里不演示。1.用burp抓包登录进入,任意输入账号(除了admin)和密码即可,注意网页对admin账户最开始了限制,所以admin是没办法登录进去的。(修改账号提交): nctf.nuptzj.cn/web13/index.php?状态码200表示请求成功 状态码401表示未授权访问 也就是登录失败。说明有3列在这个数据库中 接下来可以开始进行数据库的注入操作。.
BUUCTF——web([极客挑战 2019]Secret File、[ACTF2020 新生赛]Exec、[极客挑战 2019]LoveSQL)
LizePing_的博客
07-16 1116
BUUCTF-web[极客挑战 2019]Secret File题思路[ACTF2020 新生赛]Exec题思路[极客挑战 2019]LoveSQL题思路 [极客挑战 2019]Secret File 题思路 所以说,江路远 是谁啊?? 根据元素里面提示,我们去这个页面看一看 有点恐怖啊兄弟们,来到了这个页面。我们继续深究下 点secret,接着看,。 然后他告诉查阅结束,关键提示点来了啊。他说没看清???那肯定是我们忽略了什么。 再来一遍,。这回我们抓包。看看每个包里的内容。在一个
sql注入学习笔记1
qq_61109509的博客
02-06 3104
[极客挑战 2019]EASYSQL 根据提示,用户名就是cl4y,密码试一试万能密码。出现flag [强网杯 2019]随便注 先试试万能密码 再看下字段数,是两列 使用union联合查询检测信息回显位置,发现它过滤了select 学习一波堆叠注入 与仅限于SELECT语句的UNION联合查询攻击不同,堆叠注入可以用于执行任何SQL语句 首先展示所有数据库 没有我们想要的信息,那就展示一下所有的表 查看第一个表的信息 1;desc `191981093..
buuctf 极客挑战2019php
08-24
buuctf 极客挑战2019php是指buuctf举办的一个PHP编程比赛,它是基于阿里云IoT技术平台的创新挑战赛。在该比赛中,参赛者需要利用PHP编写代码解决一系列技术难题。这些问题可能涉及到序列化、反序列化、变量值的展示等。序列化是指将对象转化为字符串的过程,而反序列化则是将字符串转化为对象的过程。在PHP中,可以使用serialize()函数进行序列化,并使用var_dump()函数进行反序列化结果的展示。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [阿里云IoT极客创新挑战赛.pdf](https://download.csdn.net/download/weixin_38744375/11634853)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【BUUCTF-Web】 [极客挑战 2019]PHP](https://blog.csdn.net/m0_51683653/article/details/126693573)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值