CTF实验吧-简单的sql注入【SQL注入关键词绕过】

最新推荐文章于 2024-08-12 15:13:20 发布
最新推荐文章于 2024-08-12 15:13:20 发布
阅读量2.2k 收藏 3
点赞数 2
文章标签: ctf web 实验吧 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wy_97/article/details/75660870
版权

首先尝试性的试了一个1,

然后试了一下0'='0,将所有值输出看看

这也证明了‘’没有被题目给过滤掉

接下来开始尝试and语句准备试出其表名,按实验吧的习惯,一般都是存在flag表的flag字段中,不过还是尝试一下

然而,报错,and,select,from等词汇均被忽略了

试了一些方法,均不可解决,下面方法参考了实验吧作者双眼皮的双子座和pcat的思路,侵删

第一种:

 

1' unionunion  selectselect  flag fromfrom  flag wherewhere  '1'='1

重复加空格重复

 

第二种:

/*!关键字*/ 即可越过忽略保留关键字

以上两种方法均可测试存在flag表,flag字段,而答案也确实在其中,,,不愧是实验吧,老套路,哈哈哈

不过还是很好奇,这种忽略的手法是什么,为什么这样就能跳过忽略保留关键字,欢迎大佬指教!
 


 

Sp4rkW
关注
专栏目录
CTFHUB-web-SQL注入
ookami6497的博客
11-29 825
CTFHUB SQL
CTF---Web---SQL注入---01---万能密码+sqlmap
qq_22160557的博客
07-29 3737
文章目录前言一、题目描述二、解题步骤1. 万能密码登录2. sqlmap爆库3. 爆表4. 爆列5. 爆字段三、总结 前言 题目分类: CTFWebSQL注入—01—万能密码+sqlmap 一、题目描述 题目:SQL注入 链接:192.168.87.172 二、解题步骤 1. 万能密码登录 Step1:尝试万能密码:user=‘=’,pass=‘=’,输入后登录成功,注入点在此 2. sqlmap爆库 Step2:源代码中提示,提交方法为POST,所以此题为sqlmap的post注入,采用kai
实验简单sql注入
windseraph2的博客
05-19 2767
http://ctf5.shiyanbar.com/423/web/  知识点:当过滤空格时,通常用()或/**/代替空格 payload 1'/**/union/**/select/**/flag/**/from/**/flag/**/where/**/'1'='1
2021-07-08 CTFer成长之路-SQL注入-字符替换
热门推荐
时光隧道
07-08 5万+
一:字符替换 1.只过滤了空格 除了空格,在代码中可以代替的空白符还有%0a、%0b、%0c、%0d、%09、%a0(均为URL编码,%a0在特定字符集才能利用)和/**/组合、括号等。假设PHP源码如下: $id = str_replace(" ","",$sql); 2.将SELECT替换成空 $id = str_replace("select","",$sql); 3.大小写匹配 在MySQL中,关键字是不区分大小写的,如果只匹配了"SELECT",便能用大小写混写的方式轻易绕过,如"sEleCT
Ctfer训练计划】——命令执行的解题技巧(持续更新中)
最新发布
zzz6583zz的博客
08-12 427
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
SQL注入绕过技巧
2301_77160226的博客
06-10 3621
SQL注入绕过技巧
生命在于学习——SQL注入绕过
易水哲的博客
08-17 1万+
SQL注入绕过技术已经是一个老生常淡的内容了
sql注入常见绕过方法
ljlrookiebird的博客
09-05 4611
sql注入web安全的常见漏洞,这里总结下常见的绕过姿势,还有其他没总结到了,小伙伴可以留言补充
CTFweb学习记录 -- SQL注入检测绕过
lifanxin的博客
05-19 1013
SQL注入检测绕过概述大小写绕过双写绕过编码绕过内联注释绕过总结 概述   在学习了一些基本的sql注入知识以及注入技巧后,本篇博客将会总结一些常见的sql注入检测绕过方法。 大小写绕过   大小写绕过很好理解,后端程序会过滤掉一些关键词,比如:select/union/and,此时就无法达到注入的效果。想要绕过这种检测,只需要大写某些字母即可,比如:selEct/UniOn/And,之所以可以这样绕过,一是因为后端的检测逻辑不够完善,二是mysql并不区分大小写。 双写绕过   双写绕过ctf比赛中十分
mysql注入ctf_CTF考点总结-sql注入
weixin_36488760的博客
01-28 1112
整理下sql相关知识,查漏补缺(长期更新)常用语句及知识information_schema包含了大量有用的信息,例如下图mysql.user下有所有的用户信息,其中authentication_string为用户密码的hash,如果可以使用可以修改这个值,那么就可以修改任意用户的密码当前用户:select user()数据库版本:select version() , select @@versi...
CTF-Web-SQL注入
beihai2013
01-26 3293
题目目录参考https://ca01h.top/Web_security/ctf_writeup/8.buuctf%E5%88%B7%E9%A2%98%E2%80%94%E2%80%94XSS/ 随便注 题目来源:强网杯2019 题目链接:https://buuoj.cn/challenges#[%E5%BC%BA%E7%BD%91%E6%9D%AF%202019]%E9%9A%8F%E4%BE%BF%E6%B3%A8 考察:堆叠注入,sql的show语句,sql的预编译,sql修改表 参考:https:/
sql注入关键字大全
07-27
sql注入关键字大全,包括sqlserve , odbc,等
整理来的SQL注入点关键字
03-06
整理来的关于SQL注入时所需要的关键字,很全面,覆盖了很多,包括asp,php等等
sql注入(三)绕过方法及防御手段
Innocence_0的博客
03-07 1927
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
Linux系统下绕过某个关键字的小技巧,比如flag关键字
weixin_44632787的博客
07-24 2152
Linux系统下绕过某个关键字的小技巧,比如绕过flag关键字 首先先在linux系统下创建一个文件名为flag.txt的文件。里面的内容为:This is Flag! 这里提供几个绕过某个关键字的小技巧。 单引号绕过: cat fla’g’.txt 双引号绕过: cat fla"g".txt 反斜线绕过: cat f\lag.txt $+数字绕过: cat fl$1ag.txt,cat fl$2ag.txt,cat fl$3ag.txt $@绕过: cat fl$@ag.txt Base6
SQL注入实战:绕过操作
ting_liang的博客
01-27 2677
preg replace(mixed $pattern, mixed $replacement, mixed$subject):执行-个正则表达式的搜索和替换。id=1 && 1=1或者?可以利用网络中的开源的URL在线编码,绕过SQL注入的过滤机制。1、大小写变形,Or,OR,oR,And,ANd,aND等-代码中大小写不敏感都剔除。3、利用符号代替--and --&& --or--|| 等。5、网站的每个数据层的编码统一,建议全部使用utf-8编码。
SQL篇之SQL注入绕过姿势总结
zkaqlaoniao的博客
10-25 1860
目录 1.注释符绕过 2.大小写绕过 3.内联注释绕过 4.双写关键字绕过 5.特殊编码绕过 6.空格过滤绕过 7.过滤or and xor(异或)not 绕过 8.过滤等号=绕过 9.过滤大小于号绕过 10过滤引号绕过 11.过滤逗号绕过 12.过滤函数绕过 13.缓冲区溢 1.注释符绕过 常用的注释符有: 1)--注释内容 2)#注释内容 3)/*注释内容*/ eg:union select 1,2# union select 1,2 --+ 构造闭...
SQL注入漏洞(绕过篇)
errorr0
06-24 4904
SQL注入绕过手法
ctf sql注入关键词绕过【积累中】
Sp4rkW的博客
09-25 2万+
写在前面:这个博客知识点来源于个人ctf练习比赛中积累的知识点及网络中各个博客的总结点,这里做测试和记录 0x00 sql注入理解 SQL注入能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台 都使用某种SQL数据库。跟大多数语言一...
SQL注入技巧:绕过逗号过滤方法总结
"这篇文档主要介绍了SQL注入中的过滤逗号注入问题及其解决方案,通过各种方法绕过逗号的过滤限制,包括使用fromto、join、like以及limit的offset技巧。同时,文中还提到了一些CTF比赛中的实际题目作为示例,帮助理解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值