实验吧——WEB-看起来有点难

于 2019-04-15 18:38:09 发布
阅读量2.6k 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44677409/article/details/89317625
版权
这篇博客探讨了一个看起来复杂的WEB安全问题。通过分析错误信息,作者推断出用户名为admin,然后尝试使用SQL注入攻击。由于select语句被过滤,作者转而采用时间盲注来确定密码长度,最终发现密码长度为8。文章揭示了如何通过脚本逐步破解密码的过程。
摘要由CSDN通过智能技术生成

看起来有点难

在这里插入图片描述
用户名:123 密码:123
显示数据库连接失败
在这里插入图片描述
用户名:admin 密码:admin
显示登录失败,错误的用户名和密码

在这里插入图片描述
结合两次输入回显的内容,我们可以猜测用户名应该是admin,而密码暂时还不知道。

然后测试一下sql注入
admin=admin' union select 1,2,3 --+&pass=admin&action=login
发现被过滤了select

在这里插入图片描述
我们再试试admin=admin' and sleep(5) --+&pass=admin&action=login
发现有延迟了,我们可以用时间盲注。

然后开始写脚本,先判断密码的长度


                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  小白白@
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









              

  



          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值