BUUCTF,Web:[极客大挑战 2019]EasySQL

最新推荐文章于 2024-06-08 11:12:41 发布
最新推荐文章于 2024-06-08 11:12:41 发布
阅读量667 收藏 2
点赞数
文章标签: 前端 mariadb sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62260856/article/details/122373786
版权

1.解题过程:

登录框,先想到爆破,SQL注入

随机输入测试,得到提示结果

且可以看到 url 显示的语句,可以知道是 sql 注入

查看源码,一个表单,check.php 文件通过 $_GET 变量来收集表单数据,两个输入框和一个提交按钮

注入测试,先看单引号有无过滤

你有一个错误在你的SQL语法;检查MariaDB服务器版本对应的手册,在第1行'123'附近使用正确的语法

使用返回两个 true 的语句使网页成功登录

可以知道

select * from user where username= '1' and password = 'or '1'='1

优先级:【and】>【=】>【or】

所以 '1' 为 false,'1'='1 为 false ,所以:假 and ’ or 假,返回真

Part 03
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
BUUCTF Web[极客挑战2019] EasySQL
qq_36348811的博客
03-28 296
问题分析 题目类型是Web类型,而且是一个登录页面,首先考虑是否是SQL注入。 先尝试闭合方式,输入1,1’,1"判断,当输入为1’时报错,所以判断结果语句应该为单引号闭合。 根据报错信息,尝试注入,在此之前了解一下万能用户名和万能密码。 补充知识 所谓的万能密码就是绕过登录验证直接进入管理员后台的密码,这种类型的密码可以通用到很多存在此漏洞的网站,所以称之为万能。 最常用的管理员用户名:admin root user test guest select * from table_na
GeekUniversityWebTask:极客大学前端训练营作业
04-18
【标题】"极客大学前端训练营作业"揭示了这个压缩包内容主要涉及的是极客大学(GeekUniversity)组织的前端开发学习任务。在这个训练营中,学员们可能通过一系列练习和项目来提升自己的前端技能,特别是JavaScript...
buuctf-web-[极客挑战 2019]EasySQL
weixin_43345082的博客
06-17 851
sqlmap一把梭 直接用 payload
BUUCTF:Web-[极客挑战 2019]EasySQL
最新发布
wdnmddbl的博客
06-08 475
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点练习sql注入,推荐使用sql-labs这个靶场,我后续也会更新从开始搭建到攻略1-75关完整教程,早些关注上车哦。大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可,网上的师傅们总结的很完美,我就不东施效颦)思路:文章很详细。
buuctf - web - [极客挑战 2019] EasySQL
yinan99977的博客
05-09 264
题目为EasySQL,页面为登陆模式,判断为存在SQL注入, 直接使用万能密码 username=admin' or '1'='1 password=admin' or '1'='1 登陆成功,得到flag
BUUCTF之[极客挑战 2019]EasySQL 1
weixin_44632787的博客
06-13 534
BUUCTF之[极客挑战 2019]EasySQL 1 开启靶机,看到我们的挑战界面 这个页面看起来就很像是SQL注入,而且我们的题目也有提示到。。。 OK,我们先输入一个万能密码看看~~~账号:1’ or 1=1 # 密码可以随便输入 好吧,这题过于简单。。。。。。 得到的Flag是:flag{f3bcaef4-f19b-4e56-bf4d-9780988e0b89} ...
BUUCTF Web [极客挑战 2019]EasySQL
weixin_45674567的博客
01-30 607
直接sql注入,密码用sql手工注入万能密码得到flaghttps://mp.weixin.qq.com/s?src=11&timestamp=1580373488&ver=2127&signature=hap8iqIeunD0CKRTDTxrcAZusO5XeRbjouBvHoEI2aHHkh3qt61zapncy3SLvDS*0zOPFylzy0D9LbukmQH8G3...
GFG-:极客极客30天挑战
02-17
极客30天挑战2021年1月 30天练​​习问题的Python解决方案: 与同学一起翻阅怪胎。(Array); 第N个自然数; 不能表示为Sum的最小正整数; 从抽屉里拿出“ k”双袜子的最小采摘次数; 螺旋矩阵奇克兰的硬币; 有效...
微信小程序demo:极客学院
03-15
一个同学的毕业设计,微信小程序也可以做成毕业设计了吗?   免责声明:本站所有文章和图片均来自用户分享和网络收集,文章和图片版权归原作者及原出处所有,仅供学习与参考,请勿用于商业用途,如果损害了您的...
微信小程序学习用demo:极客学院
03-15
点评:简单的两个页面:   免责声明:本站所有文章和图片均来自用户分享和网络收集,文章和图片版权归原作者及原出处所有,仅供学习与参考,请勿用于商业用途,如果损害了您的权利,请联系网站客服处理。
GeeksCoding:极客编码
05-09
在“GeeksCoding:极客编码”项目中,我们聚焦于提升编程技能,特别是针对Java和JavaScript这两种广泛使用的编程语言。这个项目包含了针对Java 8和JavaScript(包括ES5和ES6版本)的编码练习,旨在帮助开发者磨练他们...
[BUUCTF]极客挑战 2019EasySQL1 write up
GZWZ_的博客
03-25 3179
这道题很简单,就是想推一下万能密码,So浅写一下啦!
BUUCTF Web 极客挑战 2019 EasySQL
Brilliant_orange的博客
11-22 788
(当然,我们只是猜测闭合符号是单引号,其他题目也可能是双引号)接下来,我们试试用一下万能账号或者密码两种方法(优先级:【and】>【=】>【or】,语句为真,可行,得到flag。(#后面内容注释掉了),也为真,得到flag。
BUUCTF[极客挑战 2019]EasySQL】wp
qq_58047053的博客
04-18 303
简单的sql注入 靶机打开后是一个网址,点进去会有这样的页面: 直接使用万能密码admin' or 1=1#,密码随意: 得到flag: 除了最简单的admin' or 1=1#之外,还有其他对应使用的万能密码,这篇csdn帖总结了一下万能密码: [极客挑战2019]easysql ...
BUUCTF】[极客挑战 2019]EasySQL 1
qq_45972928的博客
05-06 968
根据题目可知,这是大概率是一道SQL注入题 知识点——万能密码原理: 原本查询username = ’username‘,我们要尝试对引号进行闭合,所以当username=1’ or’1’='1时,id = '1’ or ‘1’=‘1’,成功闭合了两边的引号并加上了我们写的语句 1、进入网站 2、尝试登录 3、加单引号,双引号等方法粗略判断是否存在注入 4、可以看到存在注入点,而且这是极大可能是一个单引号的字符型注入。尝试单引号相关的万能密码 username=1’ or ‘1’=‘1&
buuctf [极客挑战 2019]EasySQL
qq_1873822的博客
03-02 234
打开题目是一个登陆界面,也没发现注册功能,猜测是sql注入进去 在用户名或密码处输入单引号发现报错,存在sql注入 在报错信息中是字符类的sql注入,通过sql“万能密码”来直接登录进去 用户名:admin'or'1'='1 密码:admin'or'1'='1 如果账号密码不对(or前面),就会执行or后面的’1’='1’这是一个恒真的,我们使用错误的账号密码来达到了登录成功的目的。 登陆成功~ ...
BUUCTF[极客挑战2019]EasySQL
weixin_45253622的博客
05-04 172
打开环境,是个登录界面,猜测是POST型的SQL注入,后来提交参数发现是GET型的。 尝试注入,使用admin' 发现报错,判断是单引号闭合;试一下万能密码: admin' or '1'='1 用户名和密码都输入万能密码: ...
BUUCTF [极客挑战 2019]EasySQL
qq_68581192的博客
07-05 390
可以发现是与上面有不同回显的,可知是单引号注入,可以用 ’ 闭合查询语句和 or 绕过再结合 # 注释符。输入用户名1’ or 1=1#,密码1,flag显示如下图。发现显示错误,我们再试试输入用户名1’,密码1,显示如下图。先尝试输入用户名1和1",密码1,显示均为下图。
buuctf web 极客挑战2019
08-24
对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Part 03

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值