渣渣学CTF之 sqli-lab

最新推荐文章于 2024-05-11 22:43:45 发布
最新推荐文章于 2024-05-11 22:43:45 发布
阅读量632 收藏
点赞数
分类专栏: CTF-sql注入 文章标签: sqli-lab less1-5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43900310/article/details/90243868
版权
本文介绍了SQL注入中的普通注入,主要针对sqli-lab的less 1-5关卡。讨论了数字型和字符型注入,以及如何利用注入语句获取数据库信息,如排序、报错注入、数据库名、表名和字段数据。还提到了注释方式和URL编码注意事项,并引用了相关文章作为参考。
摘要由CSDN通过智能技术生成

关于sql注入中的普通注入(对应的sqli-lab中的less 1-5)

  • 1.注入类型:

    数字型(直接输入数字便可以注入)
    字符型(在less1,less3,less4中,存在形式一般为1’ 1" 1’) 1"))这得看判断得到的结果反馈是什么,从而猜测他的注入形式。

  • 2.注入语句:
    对数据库中存在的字段进行排序,注意此处为1’ 让其语句通过

1' order by 3 --+

在这里插入图片描述
此处为-1让其语句报错,从而执行后面的union select操作,其中database()是为了爆出他的数据库的名字

-1' union select 1
最低0.47元/天 解锁文章
奔跑在路上的萌新
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
注入攻击(一)--------SQL注入(结合BUUCTF sqli-labs)
Young12138的博客
05-10 1859
为了准备信息安全技术课程汇报做的笔记,想着做了也是做了,不如分享出来给想我一样的初学者学习。本人之前没有做过CTF,也没有学过SQL注入,零基础,所以大佬可以先行离开。内容是SQL注入XPath注入HTML注入
青少年CTF平台---sqli-labs
t235336456的博客
11-30 454
看到有个flag表然后查看段名(id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='flag' --+)查数据(id=-1' union select 1,group_concat(0x7e,flag),3 from security.flag --+)题目:sqli-labs。到4的时候会返回错误信息。
2024年最新CTF Web SQL注入专项整理(持续更新中)_ctf sql注入,一文轻松搞定(1)
最新发布
2401_84973175的博客
05-11 822
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
“百度杯”CTF比赛 九月场 SQLi 解题思路
****的博客
10-15 1118
题目简介 题目名称:SQLi 题目内容:后台有获取flag的线索 解题思路 打开地址使用burp抓包发现“l0gin.php?id=1”。 打开“l0gin.php?id=1”地址 使用1’ and ‘1’=‘1(成功)和1’ and ‘1’='2(不成功),说明此处存在sql注入。测试中发现后台过滤了逗号,在这里使用from for代替逗号。 开始注入 猜测数据库名称 猜测数据库名...
sqli-labs靶场题解(less 1-18)
ph0ebus的博客
03-07 404
入门sql注入
Sqli-Labs(1-10)通关笔记
weixin_54894046的博客
04-02 4463
靶场环境 buuctf的靶场 来到第一关 根据提示:提交方式GET 有报错提示 闭合方式为单引号 源码的sql语句为 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 使用?id=1传参 不要问我为啥这样写 我也不知道 依次使用?id=2,3,4,5,6.....不知道这关要干嘛QAQ 目标:得到数据库名字 表名 字段名 数据 输入?id=1'%23 原理用自己添加的单引号闭合 然后用#注释掉后面的单引号 不过#要用url编码成%
SQLi-CTF-master.zip
04-09
CTF(Capture The Flag)是一种网络安全竞赛,参赛者通过解决各种安全挑战来获取积分,而SQLi-CTF通常是指在CTF比赛中涉及SQL注入的特定类型挑战。 在SQL注入攻击中,攻击者可以向应用程序输入恶意的SQL代码,以...
ctf-all-in-one
01-30
ctf-all-in-one
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
sqli-labs-php7-master.zip
04-06
在网络安全领域,CTF(Capture The Flag)比赛是一种常见的技术竞技形式,它旨在提升参赛者的网络安全技能,特别是对于Web安全的理解。在这个背景下,"sqli-labs-php7-master.zip"是一个专为Web安全学习者设计的练习...
CTF-RSA-tool-master.zip
01-19
针对CTF中CRYPTO的RSA工具
sqli-labs-master
08-22
sqli-labs-master是一个练习sql注入的代码环境
SQL注入天书 sqli-labs
01-11
SQL注入天书 sqli-labs
SQLi-LABS(1~10关详解)
CTF小白的博客
09-22 6444
目录SQLi-LABS Less-1查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-2查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-3查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-4查看题目环境测试...
sqli-labs buuctf平台+本地环境 全关全解 不是很详解(<_<)
weixin_48083470的博客
07-12 1883
sqli-labs 在buuctf平台 搜索sqli-labs 可以更加模拟线上赛的环境 less-1 less-5 ?id=0' and(select extractvalue(1,concat('~',(select database())))) %23 报错注入详细讲解:https://blog.csdn.net/silence1_/article/details/90812612 less-6 发现不报错了,用布尔盲注 写python代码来跑出内容 import requests url
BUUCTF-sqli-labs1
Nothing-one的博客
07-16 1561
根据题目内容他让我们(请输入id作为带数值的参数 )这个为数字型注入。 这里面我用了sqlmap工具来进行解题。 在里面输入 python sqlmap.py -u +(网站名)(记住在网站名后面要加入?id=1) --dbs #获取数据库 这样我们就可以获得数据库中的名称了。 下面我们就要看数据库中的表明了。 python sqlmap.py -u +(网站名) -D 数据库名 --tables #列出表名 我们知道了表名,下面我们就要爆出字段名。 python sqlmap.py -u +(网站名)
CTF--MySQL数据库
woshisz0413的博客
11-27 1025
MySQL: (1)MySQL查询:union(连接多个select)
CTF刷题总结(1)------简单的SQL注入
qq_45047250的博客
04-25 1300
第一次写分享类的文章,有错误的地方还请大家多多指正哈!此篇文章主要分享一些刷web题目中会遇到的一些知识点,之后还会继续分享一些关于这方面的知识。 文章目录简单的sql注入预备知识注入前判断如何判断注入顺序及操作总结 简单的sql注入 预备知识 schema:可以代表数据库的组织和结构,其中schema和schemata的模式可以是表、列、数据类型、关系、主键等等。下面会通过例子来说明,大家可以自行体会。 information_schema: 是MySQL自带的信息数据库,用于存储数据库元数据(例如:数
bugku ctf sqli-0x1题解
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值