ctf
xiaouiii
这个作者很懒,什么都没留下…
展开
-
[第一章 web入门]SQL注入-1
也是一道比较简单的入门题目。。。 如图 (其实我闲着去试了一下,发现id=3可以弄到一个提示) 很明显我们可以用万能钥匙试一试 'and 1=1 'and 1=2 说明可以从id注入,那么还是先测试能显示的列数 (这里用#一定出问题,所以用了sql另一个注释符号--) 用union select 1,2,3看看能显示的(记得把id换成他查询不到数据的值) database()探出数据库名 (select group_concat(t...原创 2021-11-15 20:30:15 · 843 阅读 · 0 评论 -
[极客大挑战 2019]LoveSQL1
一道难度不大的基础题。。。 用' or 1=1 #来登录绕过(密码随便) 成功进入页面 先测试他能显示结果能有多少列('order by 1#)//从一开始慢慢试,这里最多显示3行 知道能显示3行,那么用' union selcet 1,2,3可以看到显示为。(说明2,3行能显示内容) 接下来就很简单了,需要探的信息直接改变2,3 的值。如图用database()来获取数据库名 (select group_concat(table_name) from informa...原创 2021-11-15 20:00:19 · 669 阅读 · 0 评论 -
【BUUCTF】[极客大挑战 2019]Havefun 1
挺简单的一道题。。。 打开f12看看里面有什么信息 <!-- $cat=$_GET['cat']; echo $cat; if($cat=='dog'){ echo 'Syc{cat_cat_cat_cat}'; } --> 很明显,上传参数$cat=='dog'可以得出答案 ...原创 2021-11-15 19:27:03 · 731 阅读 · 0 评论