CTFshow_web2

最新推荐文章于 2024-07-22 21:18:48 发布
最新推荐文章于 2024-07-22 21:18:48 发布
阅读量2.2k 收藏
点赞数 3
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zoixsoadji/article/details/123179971
版权
通过尝试万能密码成功登录后,利用Burp Suite抓包发现注入点。进一步分析,揭示了名为web2的数据库,以及flag和user表格。最终查询字段内容,成功获取到Flag。
摘要由CSDN通过智能技术生成

 进入题目,发现题目很简单,首先试试万能密码登陆。

登陆成功,接下来使用bp抓包,并且寻找注入点。

 

找到注入点,接下来看看它的2下面有什么 

 

查到表名为web2的数据库,接下来继续注入,查询字段。

 

最低0.47元/天 解锁文章
cng_Capricornus
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web-2(sql注入)
m0_73303597的博客
11-21 1891
自用
ctfshow-WEB-web2
热门推荐
wangyuxiang946的博客
08-19 1万+
ctf.show WEB模块第2关是一个SQL注入漏洞,请求方式是POST请求,注入点是单引号字符型注入,flag就藏在当前的数据库的flag表中,使用联合注入获取数据即可 在用户名的输入框中输入万能账号a' or true #,密码随便输 登录成功,万能账号生效了,并且把查询到的用户名显示到了页面中,既然有显示位,那我们就用联合注入进行脱库 首先,测试一下回显的位置,在用户名的输入框中输入一下payload,密码还是随便输 a' union select 1,2...
CTFSHOW game-gyctf web2
最新发布
这周末在做梦的博客
07-22 921
反序列化增逃逸
ctfshow web2
m0_63253040的博客
03-12 1726
打开环境是一个登入页面, 题目提示:最简单的SQL注入,那么先试一试万能密码登入 ' or 1=1# 密码随便输 存在回显,直接sql注入 ' or 1=1 order by 3# 正常回显,爆到4时不回显 ' or 1=1 order by 4# 开始爆库名 ,先看看是哪个位置会回显 ' or 1=1 union select 1,2,3# 发现是可以不用输密码的 ' or 1=1 union select 1,database(),3# 得到库...
ctfshow web入门——web2
m0_74093152的博客
01-28 270
ctfshowweb入门——web2
CTFshow:WEB2
精神大火的博客
03-21 1529
该题考察SQL注入漏洞,之前对SQL注入仅有部分了解,通过该题进行复习深入。
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
ctfshow-web2(SQL注入)
Welcome To Myon'Blog !
10-07 622
mysql数据库、web2数据库以及其他所有数据库的所有信息都会储存在information_schema这个数据库下,这也是为什么我们可以借助information_schema这个数据库来查询到其他数据库的信息。这里说一下,因为mysql 5.0及其以上的都会自带一个叫information_schema的数据库,相当于是一个已知的数据库,并且该数据库下储存了所有数据库的所以信息。前面我们说过,information_schema这个数据库下面包含了所有数据库的所有信息。成功闭合之后先判断字段数。
ctfshow_WEB_web2 wp
Altering_Ji的博客
04-23 558
ctfshow WEB类题目web2,最简单的SQL注入,writeup
ctfshow之web2
夜未至
03-21 291
本人开了一个知识星球,在星球里每天更新网络安全的文章,其中包含在安全中用到的工具和脚本,分享全国职业技能大赛的相关具体细节及解题思路,在星球中有问必答。然后在地址栏回车,就可以查看网页源代码了,获取到flag:ctfshow{42393163-8074-436c-8383-425d3bd989b6}同样也是开发人员忘记了在发布版本去掉那些注释,只不过web2里禁用了右键检查而已,查看源代码的方式还是有很多,总结:前端验证都是不安全的验证。
JavaScript学习笔记(二十)DOM动画效果
2401_84254011的博客
04-28 531
/0 ~ 100}else{//100// 3. 速度取整;}else{}else{// 4. 终止条件;} , 50)
CTFshow-web-web2
qq_68581192的博客
10-07 183
获取flag表的字段,输入1’ union select 1, (select group_concat(column_name) from information_schema.columns where table_schema=‘web2’ and table_name=‘flag’) ,3 # 显示如下 发现只有一个字段。获取flag表的数据,1’ union select 1,(select flag from flag),3 # 显示如下。
CTF-show WEB入门--web2
m0_73912575的博客
10-25 257
CTF.show WEB入门--web2 解题write up
CTFweb2
天天学安全专属博客
11-20 1009
CTFweb2,union注入详解
ctfshow web2_故人心
10-07
ctfshow web2_故人心是一个CTF (Capture The Flag)比赛中的一个网页题目。根据提供的引用,可以看出这是一个PHP代码,其中使用了一些序列化和反序列化的操作。在代码中,如果传入的密码参数为'yu22x',则会包含flag....
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值