bugku WEB 成绩查询

于 2022-11-28 10:36:27 发布
阅读量579 收藏
点赞数
分类专栏: sql学习 文章标签: 安全 web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52665674/article/details/128074806
版权

 

首先打开这道题我们F12一下来看看它的源代码

会发现存在POST  http有两种请求方式 一种是get  一种是post

利用burpsuite进行抓包

这时需要将它保存为txt文档到桌面上

PS:注意 这里需要在拦截界面完成拦截并且保存

会有个copy file(复制文件)的选项 保存到桌面,并将后缀改为txt即可

注意看 它跟直接保存的文件是不一样的(我也不清楚为什么,总之就是需要在拦截界面完成)

保存完成后打开kali使用它的sqlmap功能

 

这里要用-r 别用成-u了 ,-r是指文件 加上--dbs可以显示有哪些数据库 这里我是通过vmwaretools将保存在桌面上的txt文件直接拖到kali里面了,所以直接运行

可以发现有四个数据库供我们选择那当然选择skctf啦

接下来再输入命令

会发现这个数据库含有两个表

我们再进一步打开fl4g这个表的内容

结果发现

最后我们再打开这个数据就行

 flag就出来咯\(^o^)/~

这里有一位大佬所写的Post登录框的使用方法,里面包含了这里sqlmap所需命令的语法讲解

POST登陆框注入实战(SQLMAP)_烟敛寒林o的博客-CSDN博客

希望大家一起进步!!

 

 

 

 

 

 

 

 

 

 

 

毛睿战士6210
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
bugkuctf解题-WEB
05-04
bugku writeup,web解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
Bugku-web成绩查询
weixin_42939822的博客
03-14 3418
今天是一道地地道道的sql注入题目,通过手动注入不仅可以加深对于sql语句的应用,也能够通过实战了解sql语句的运作,更好地体会到sql注入漏洞存在的潜在危害!!!ctf小白之旅继续前行!!!
Bugku 成绩查询WEB
soysauce123的博客
08-15 450
今天咱们尝试用一下一个新的工具,sqlmap,这是一个用于sql注入等等相关的一个很不错的工具。大家好,作为一个CTF方面的小白,以后我也希望每做一次题目就和大家分享分享自己的解题过程。我们都清楚http的请求方式有两种一个get,一个post,这里就是post。那现在这就是里面最后的文件里,【确信】flag肯定就在里面了打开他!然后这里我们是用登陆框的形式输入的,我们就可以想到post登陆框注入。看看找到了啥,四个库~~就我分析这个ctf就很显眼,我估计就是这个嘿嘿。然后就可以开始查询了,先搜索库。...
BugKu_web17(成绩查询
羽的博客
05-08 322
成绩查询,数据库交互,那就在考察SQL注入漏洞。 正常输入1,2,3试试。 就正常步骤判断是否存在sql注入。 输入1 有反应 输入1’ 没有反应 判断是数字型注入
BugKu学生成绩查询 详解 SQL注入
布屿
05-18 2012
根据测试,源代码伪代码如下: <?php //链接数据库 mysql_connet("[datebase]","[user]","[password]") or //检查错误,处理无法访问数据库的情况 die("Could not connect:" . mysql_error()); //选择数据库 mysql_select_db("[database_name]"); //从POS...
bugku 成绩查询
Superpig的博客
11-10 2298
分析 典型的sql联合注入,用bp进行爆破。 step1: 联合注入要求查询列数相同,姓名、语数外一共四个数据,因此select 1,2,3,4 令id=a’是为了使前一个查询无效而回显第二个查询(也可以使用其他字符,只要保证union前的查询无效即可) id=a' union select 1,2,3,4# step2:查询数据库名 id=a' union select 1,2,3,datab...
bugku题的web类解析
01-29
这个是我自习写的bugkuweb的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
bugku web题INSERT INTO注入.docx
05-16
bugku web题INSERT INTO注入 明确注入点,是走的http报头的x-forwarded-for。  我尝试了bool型注入,发现自己构造的语句在自己数据库中会报错,但是这里并没有错误报告,因此考虑基于时间的盲注
web留言板
06-06
Web留言板 (0分) 设计一个简单的基于Web的留言板,要求如下:1)系统中所有页面,如果用户没登录,则让用户返回到登录页面login.jsp(说明:login.jsp页面填写用户的用户名和密码);2)留言板(message.jsp)页面中...
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 看到url上的参数有base64,解码发现是key.txt 把改参数换成index.php,观察发现line按行返回 所以自己练练手写了个脚本跑出来
Bugku--学生成绩查询
Golderant的博客
01-17 2979
首先测试正常数据。 尝试在正常数据后加上单引号,发现数据为空,加个注释符发现依旧可以正常输出。 尝试获取列数,因为已经输出名字和3科分数,所以就猜4和5,得知查询结果中有4列。 尝试直接联合查询,这里要记得把前面查询为空。== 根据数据库去查表名 找到fl4g表,下一步,找列名 最后一步,知道表名知道列名啦,去获取数据吧~~ 关于这个题呢,因为表fl
Bugku学生成绩查询
qq_44813849的博客
03-19 2099
打开网站之后进入界面输入1,2,3分别能查到1,2,3号学生的成绩,其余便查询不到。猜测是sql注入
bugku 成绩
rommel的博客
08-23 7240
成绩查询 龙龙龙的成绩单 Math English Chinese 60 60 70 进入这道题目 我们先手遍历一遍 id=-1' union select 1,2,3,4# 发现有四个表且都有回显 于是 就开始爆破吧 通过id=-1' union select 1,2,3,database(
Bugku——成绩单(web
csu_vc的博客
10-27 2337
可以大概判断出有四个字段 直接上payload-1' union select 1,2,3,database()# -1' union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database()#-1' union select 1,2,3,group_conc
Bugku Web CTF-学生成绩查询
No Title
12-16 1170
Bugku Web CTF-学生成绩查询 该题解题思路是SQL注入,测试思路如下:。 直接输入’单引号没有回显; 输入’#有回显; 通过union来猜解该表有多少列: 0' union select 1,2,3,4# 可正常回显,其余不行,猜测该表有4列,分别为id,Math,English,Chinese。 获取数据库名: 0' union select 1,user(),database()...
BugkuCTF】Web--成绩
VZZmieshenquan的博客
02-09 1055
Description: 快来查查成绩吧 http://123.206.87.240:8002/chengjidan/ Solution: Flag:
bugku成绩
qq_43677324的博客
03-09 892
bugku成绩单 详细解析 1,我们首先分别输入1,2,3, 均有输出 我们输入1’ 没有回响 因此我们可以判断存在sql注入 2.我们分别输入 1' order by 1# 1' order by 2# 1' order by 3# 1' order by 4# 均有回响 但是当我们使用 1' order by 5# 时,没有回响 因此我们可以根据此判断字段数为4 3, 之后就是最精彩的地...
Bugkuweb 成绩
qq_26961571的博客
06-23 255
从这里开始进入SQL注入的普通模式啦!!撒花~~ ​ 虽然真的学过数据库,可是需要有很熟悉的PHP和数据库变量名字的理解,大概才能很好的学习这个部分。 首先打开这个题目, 快来查查成绩吧! 这里还是有一些提示的,框框里面要求输入1,2,3这种数字以便查询。但是...我们怎么能用普通的思维呢???!! 那么先什么都不输入看看。 什么都木有啊! 还是输个1看看。 接下来输了2和3也是有数据的,4就没有数据了,感觉这个数据库表...
bugku-writeup-web-成绩查询
dark的博客
06-16 223
bugku-web成绩查询解题思路记录。” 题目:
bugku sodirty
最新发布
09-03
- *1* *3* [Bugku解题 web 【四】](https://blog.csdn.net/weixin_46703850/article/details/115184847)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值