CTF实验吧:登陆一下? 不一样的SQL注入

最新推荐文章于 2023-06-25 10:00:46 发布
最新推荐文章于 2023-06-25 10:00:46 发布
阅读量275 收藏
点赞数 1
分类专栏: CTF实验吧 SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/szgyunyun/article/details/98724897
版权

http://ctf5.shiyanbar.com/web/wonderkun/web/index.html

发现 过滤了很多SQL敏感字符,并且 转码绕过也并不行
在这里插入图片描述
发现’和=没有进行过滤
考虑万能密码搞一搞
这里先证明一下 这个万能密码

SELECT * FROM users WHERE username='1'=' 'AND PASSWORD='a'='';

在这里插入图片描述
可以看到成功的执行了
我们猜测 sql语句为
sql查询语句: select , from , where username=’   ’ and password=’  ';
构造payload

username=yun'=' password=yun'='

在这里插入图片描述

ctf{51d1bf8fb65a8c2406513ee8f52283e7}
god_mellon
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql&&sql注入+ctf+web安全
10-08
mysql&&sql注入+ctf+web安全
一道简单的CTF登录题题解
anquanniu的博客
03-06 8069
一、解题感受 这道题50分,在实验吧练习场算比较高分,而且通过率只有14%,比较低的水平。 看到这两个数据,一开始就心生惬意,实在不应该呀! 也是因为心态原因,在发现test.php之后,自以为在SQL注入时只要能截断后面的SQL语句,FLAG就在user里面,尝试了一段时间SQL注入都失败后,有些急躁,然后就早早拜读了pcat大神的攻略。。。 在攻略的帮助下,顺利完成题目。 所以本文主要是在pc...
“百度杯”CTF比赛 十月场 Login
whisper_ZH的博客
09-23 313
进入题目首先看到 先来盲猜一波密码,发现除了error 别的啥也没 F12看看有没有啥玩意 盲猜用户名和密码 登陆一波~~ 尼玛啥都没! 扫个后台看看又没啥东西 还啥都没!!! 一点头绪都没,抓个包看看~~ 改show值为1 代码如下 <?php include 'common.php'; $requset = array_merge($_GET, $_POS...
CTF_ctfshow_登录就有flag
weixin_54227009的博客
05-17 2329
打开靶机是一个登录界面,试了一下普通的sql注入,1' or 1=1#,不行 所以这里用'^0# 分号可以用于闭合,井号可以用于注释,^进行异或运算,等号就是判等,这里需要利用sql的一个点“mysql弱类型转换”,空异或0会查到所有非数字开头的记录 ...
ctf-WEB-login2(sql注入)
god_001的博客
05-12 2250
题目地址:跳转提示 打开网址,是一个熟悉的登陆页面,几次登录尝试发现报错回显只有一种 应当不是基于布尔的盲注,bp抓包看看: 发现响应中有一串奇怪的字符,尝试使用base64解码,得到: 这应该是一个提示,需要绕过其判断条件 这里就可以利用联合查询来注入(union select) 之前说过,union select后面加数字串时,如果没有后面的表名,则该语句没有向任何一个数据库查询,那么它输出的内容就是select后的数字,并且使用联合查询要求必须保证前后查询的字段数一致,因此要绕
CTF练习-Web1简单登录
weixin_43992606的博客
06-25 1091
CTF初入门小白,记录做题过程。
sql注入攻击流量情况
07-18
sql注入攻击流量情况
SQL注入漏洞演示源代码
07-15
SQL注入漏洞演示源代码 更多免费资源请查看:http://download.csdn.net/user/php_fly
ctf小经验sql注入
04-11
sql注入一、找到注入点; 二、判断当前表的字段; 三、用联合语句查看哪几位是有效位; 四、查看当前数据库中有哪些表; 五、查看表中有哪些属性;
CTF-Heaven:TF CTF天堂
05-06
这些备忘单的目的是帮助渗透测试人员/ CTF参与者/安全爱好者记住有用但不常用的命令。 各种单词表 有效载荷万物 Web应用程序安全性和Pentest / CTF的有用负载和绕过列表 神秘的语言 https://tio.run/ 具有大量神秘...
CTF常用后台密码集
08-12
CTF常用后台密码集,可以通过burpsuite进行密码爆破。
初学ctf的题目解析
07-07
初写ctf的一些方法
ctfshow
charon145的博客
01-15 1105
第三题 抓包,获得flag
BUUCTF admin
biggerpig的博客
09-24 784
buuctfweb类型admin题目
网络安全实验室4.注入关
众生度尽,方证菩提
02-09 1339
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
mysql 登录框注入_CTF| SQL注入之login界面类
weixin_34609222的博客
01-19 2471
SQL注入CTF的WEB方向必不可少的一种题型,斗哥最近也做了一些在线题目,其中最常见的题目就是给出一个登录界面,让我们绕过限制登录或者一步步注入数据。万能密码—very easy题目入口:http://lab1.xseclab.com/sqli2_3265b4852c13383560327d1c31550b60/index.php题目来源:hacking lab inject 01~源代码有提...
CTF学习-web解题思路
菜鸟-传奇
08-27 8201
CTF学习-web题思路 持续更新 基础篇 1.直接查看源代码 2.修改或添加HTTP请求头 常见的有: Referer来源伪造 X-Forwarded-For:ip伪造 User-Agent:用户代理(就是用什么浏览器什么的) //.net的版本修改,后面添加,如版本9 .NET CLR 9 Accept-Language:语言 Cookie的修改 3.查看HTTP请求头或响应头...
BUUCTF web SQL注入
m0_55854679的博客
08-09 2557
文章目录[极客大挑战 2019]EasySQL[强网杯 2019]随便注[SUCTF 2019]EasySQL[极客大挑战 2019]LoveSQL[极客大挑战 2019]BabySQL [极客大挑战 2019]EasySQL 根据题目,可以使用万能密码来尝试登陆。 [强网杯 2019]随便注 根据题目,可以想到此题目为sql注入,提交1与1’的结果如下 说明闭合方式为1’ 使用1‘ order by 查询字段数,得出为两列 1'; show tables;# 0'; show
B2 - Wonderful Coloring - 2
Wzwan_huai的博客
08-05 155
题目:https://codeforces.com/contest/1551/problem/B2 题解:用map<int, vector<int> >mp;记录下标 。然后进行遍历,每个数一次性处理。 //#include <bits/stdc++.h> #include <iostream> #include <map> #include <algorithm> #include <vector> using n.
ctfhub sql注入
最新发布
10-09
CTFHub是一个CTF(Capture The Flag)竞赛平台,其中包含了各种类型的安全挑战,包括SQL注入SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以利用它来绕过应用程序的身份验证、访问未授权的数据或执行恶意操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值