BUUCTF | Web [极客大挑战 2019]EasySQL-- BUUOJ WriteUP

最新推荐文章于 2024-07-16 14:59:17 发布
最新推荐文章于 2024-07-16 14:59:17 发布
阅读量383 收藏
点赞数
分类专栏: BUUCTF CTF-WP Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxsctf/article/details/125801760
版权

大数据
CTF-WP 同时被 3 个专栏收录
14 篇文章 4 订阅
订阅专栏
Web
9 篇文章 2 订阅
订阅专栏
BUUCTF
2 篇文章 0 订阅
订阅专栏

导语:

日刷,日省,日益也。我们要从最简单的题目开始做起,一点一点的培养我们的网络安全技术。网络信息化建设突飞猛进,互联网基础环境全面优化,网络空间法治化快速推荐,为促进网络空间日渐清朗、网络文化全面繁荣、提升以互联网为基础的国家经济发展重要驱动力,网络安全与我们每个人息息相关。

网络低龄化日趋严重,网络安全人才培养应从娃娃抓起!

网络安全人才稀缺!网信办相关部门负责人说:"目前我国网络安全方面人才缺口仍然很大,相关专业每年本科、硕士、博士毕业生之和仅8000余人,而我国网民数量近7亿人。"阿里安全部副总裁杜跃进表示,网络安全对从业者的要求非常高,目前网络安全人员培养跟不上行业需求。网络安全人才需要科班培养和社会培养齐头并进,而科班培养存在教师,教材,教学资源和环境如何跟上网络技术发展的问题。

前言:

深入学习贯彻总体国家安全观、增强忧患意识,是每一位公民的责任。网络安全同样与国家安全息息相关,近些年的事情我们都历历在目,我们青少年不仅仅要肩负国家安全,更重要的是以爱国主义为核心的民族精神

青少年网络安全(原中学生CTF)是以帮助青少年学习信息安全与网络技术为基础核心,将贯彻网络强国的国家战略为基础内涵的学习、练习平台,尽可能多的给予大家更多的学习资源。

题目说明:

 

题目名称:[极客大挑战 2019]EasySQL

类型:Web

难度:简单

平台:BUUCTF

解题步骤:

首先判断是数字型注入还是字符型注入,输入1和1,是正常查询的回显。

 ​输入一个字符型的测试一下

 

 使用万能钥匙一测,第一次 正常回显错误,然后又用字符型的测了一下,发现这里的报错中带有 一部分的查询语句。

# 万能公式
1 and 1=1
1' and '1'='1
1 or 1=1 
1' or '1'='1

 Payload如下:

http://518cc245-c4bf-478a-a835-91a05ed6f1b0.node4.buuoj.cn:81/check.php?username=1%27+or+%271%27%3D%271&password=1%27+or+%271%27%3D%271

测试的时候输入了 1’ and ‘1’=1这个有问题的payload,看报错信息中带有一个 and password=‘1’ and ‘1’=1 说明sql语句是SELECT * FROM tables WHERE username=‘1’ and ‘1’=1 and password=‘1’ and ‘1’=1 类似这样的查询,and 的两边同时为TRUE 结果才能为 TRUE,所以输入的payload一定要符合这个条件就可以登录成功了。

青少年CTF训练平台
关注
专栏目录
BUUCTF-MISC:二维码
m0_56161093的博客
04-22 7562
题目 解题过程 1、点击下载附件,发现是一个压缩包,解压后得到一张二维码 2、使用QR research扫描,得到的内容并不是flag 3、使用010editor打开图片分析,发现图片里面含有一个txt文件,还是在压缩包中。 补充知识: 一个完整的 JPG 文件由 FF D8 开头,FF D9结尾 在使用图片浏览器时,图片浏览器会忽略 FF D9 以后的内容,因此可以在 JPG 文件中加入其他文件。其他文件隐藏如png.gif文件隐藏也是这个道理。 4、使用binwalk分离文件 得到一个压缩
[极客挑战 2019] web题-LoveSQL
BROTHERYY的博客
07-07 301
复现环境:buuoj.cn 打开环境是一个登录框 sql注入,寻找闭合方式 登录成功,以为到这里就结束了,结果没这么简单,继续注入 tips:在url中输入的,所以不能用#,要用url编码%23 得到数据库名字 得到geek库里所有的表 继续注入得到字段名 dump出数据,结果这里发现geekuser里面没有数据,返回注入l0ve1ysq1这个表 flag{e503ad68-34dc-4b23-a315-046762d91322} 太长了截图不能截全,拉一下滑动条。 ...
BUUCTF | Misc 二维码 -- BUUOJ WriteUP
zxsctf的博客
07-15 3612
网络安全人才需要科班培养和社会培养齐头并进,而科班培养存在教师,教材,教学资源和环境如何跟上网络技术发展的问题。网络信息化建设突飞猛进,互联网基础环境全面优化,网络空间法治化快速推荐,为促进网络空间日渐清朗、网络文化全面繁荣、提升以互联网为基础的国家经济发展重要驱动力,网络安全与我们每个人息息相关。青少年网络安全(原中学生CTF)是以帮助青少年学习信息安全与网络技术为基础核心,将贯彻网络强国的国家战略为基础内涵的学习、练习平台,尽可能多的给予大家更多的学习资源。拿到了一个二维码,首先扫描,发现提示我们“..
BUUCTF: [极客挑战 2019]EasySQL 1
最新发布
jamesP777的博客
07-16 251
根据提示应该是SQL注入,我们构造查询语句 1’ or 1=1 #,成功登入,获取flag完成解题。记录一些常用的SQL注入语句。
BUUCTF-[Misc杂项]---二维码
rumil的博客
06-24 2781
打开压缩包不难发现,压缩包里面的文本文件被加密了,我们猜测里面的信息内容很有可能就是我们想要的信息,根据以上的操作和分析,以及二维码的提示,我们可以进行爆破压缩包的密码。得到此条信息,我们继续分析,将图片拖到kali linux当中,尝试分离图片,进行查看。根据压缩包当中的文本文件的文件名,猜测很有可能密码是4位的数字,我们进行暴力破解。提取后会生成output文件夹,将其拖到自己的电脑桌面,进行查看(方便操作)先来查看zip文件夹,看里面是否有我们想要的信息。根据提示,先选择数字,长度位4。
buuctf-misc-二维码1
mlws1900的博客
09-08 848
我以为到这就结束了,flag{}加上就ok,结果发现失败。发现要密码,写着4numbers,应该就是纯数字密码爆破。提交时候要改成flag{vjpw_wnoei}显而易见的二维码题目,解压得到一个二维码。发现里面存在一个4numbers.txt。利用工具进行压缩包密码爆破。用winhex打开看一下。
BUUCTF MISC 二维码
moyikong的博客
01-06 307
下载下来是一张二维码 所以我们用QR_code工具来识别 然而这里有一个坑,在第一次提交的时候发现flag错误。所以我们用winhex查看一下: 进去才发现里面有一个压缩文件,压缩文件里面有一个txt文件。 此时我们用binwalk软件来分析一下该文件 确实有一个压缩文件,so反手掏出foremost神器 看到已经分离出来了zip文件,然后我们打开看一下里面的内容。然而打开后发现需要密码 所以掏出zip文件密码爆破软件,然后文件名提示是4个数字 此时得到压缩密码为7639。最后打开txt文件.
[极客挑战 2019]RCE ME writeup + 无字母数字命令执行
ShenZ的博客
09-09 427
我以后再半夜开题目我就是【】 知识点 利用取反运算符绕过无字母数字正则表达式 取反之后基本上都是不可见字符 yu22x大佬的php脚本: <?php fwrite(STDOUT,'[+]your function: '); $system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN)); fwrite(STDOUT,'[+]your command: '); $command=str_replace(array("\r\n", "\
BUUCTF [BSidesSF2019]table-tennis
qq_51447967的博客
05-06 523
题目分析 下载得到一个`pcapng`的流量包,打开之后分析了一下,在`ICMP`数据包的`data`中可以发现有一些数据,如下 基本都是一些标签,估计是一串HTTP的字符串,使用如下命令取出来 tshark -r attachment.pcapng -T fields -e data |sed '/^ *$/d' > data.txt 提取的都是16进制,然后写个脚本处理一下 file = open("flag.txt","r") str = "" k = 1 for i in file
CTFShow-周末大挑战parse-url篇Writeup
05-19
这篇Writeup主要涉及的是CTF(Capture The Flag)挑战中的Web安全领域,特别是URL解析漏洞的利用。CTF是一项网络安全竞赛,参与者通过解谜、破解密码等方式获取“国旗”(Flag),在这里指的是挑战的答案或关键信息...
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一篇关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
buuctf-misc二维码
weixin_47174945的博客
11-04 300
下载压缩包,之后解压发现一个二维码扫码得出 secret is there. 然后我又用Stegsolve打开了一下二维码,发现在一个被加密的zip 然后改了一下扩展名zip。用ZIP爆破解密得出密码 解压之后得出flag:CTF{vjpw_wnoei}。记事本里是这个答案。然后提交的时候不对,这时我又傻了,突然我灵机一动,改成了flag,成功了 提交结果为:flag{vjpw_wnoei}. ...
BUUCTF-Misc-二维码1
苏生要努力
03-05 590
看到之前文件名是4number.txt,似乎是在提示我们密码是一个4位数字。于是破解开始:密码是7639。用kali查看该二维码图片信息,发现了4number.txt,还有一些PK16进制,有点像压缩包。分离出这个压缩包,利用Linux下的foremost工具。填进去发现flag错误,猜测是照片里面隐藏了其他文件。打开二维码扫描工具QR research进行扫描。下载附件是一张照片,打开是一个二维码。分离出压缩包,打开压缩包发现需要密码。
BUUCTF Misc 二维码
Leslie_LIL的博客
02-24 524
题目如下: 一开始以为直接扫描二维码就能得出flag,但是我错了,那就分享一个在线扫描二维码网站叭https://mazhuren.com/saoma/ 那就用binwalk分析一下文件,binwalk安装及简单用法 https://www.bilibili.com/read/cv11310186?from=search&spm_id_from=333.337.0.0 发现有一个zip包 提取文件,加个-e参数 会发现多出一个文件夹 打开有个zip包,告诉你是4位数字的密码 用ARCHP
buuctf:misc二维码
qq_57061511的博客
06-06 574
下载解压得到u
BUUCTF-MISC-03二维码
weixin_49765221的博客
04-22 893
一个完整的 JPG 文件由 FF D8 开头,FF D9结尾,在使用图片浏览器时,图片浏览器会忽略 FF D9 以后的内容,因此可以在 JPG 文件中加入其他文件。-b: 使用暴力破解 -c 1: 使用字符集,1指数字集合 -l 4-4: 指定密码长度,最小长度-最大长度 -u: 不显示错误密码,仅显示最终正确密码。发现这个文件中包含着其他格式的文件,我们就可以用kali中的binwalk的方式分离文件了,首先binwal可以看到这个文件中包含的一些内容。-e:指定文件扩展名,用于过滤分析结果。
MISC-二维码
zh_cn1的博客
12-05 298
准备 binwalk zipcrack.py或ARCHPR.exe binwalk qr.png binwalk -D=zip qr.png 提取压缩文件 python3 zipcrack.py ARCHPR.exe也能破
Buuctf-Web-[极客挑战 2019]EasySQL
御七彩虹猫
05-12 263
Buuctf-Web-[极客挑战 2019]EasySQL
BUUOJ misc 二维码
weixin_30794499的博客
09-04 1398
一个二维码,扫一下是提示:secret is here 用binwalk看一下: binwalk QR_code.png DECIMAL HEXADECIMAL DESCRIPTION -------------------------------------------------------------------------------- 0 ...
CTFShow周末大挑战:解析url获取flag Writeup
在本篇CTFShow的周末大挑战中,我们将深入解析六个关于URL编码和解析的网络安全题目,涉及GET和POST请求以及基础的漏洞利用技巧。每个关卡都旨在测试参赛者的编码理解、Web应用程序安全和基本的编码解码能力。 1. *...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值