攻防世界 web进阶练习 NewsCenter

 

题目是NewsCenter,没有提示信息。
打开题目,有一处搜索框,搜索新闻。考虑xss或sql注入,随便输入一个abc,没有任何搜索结果,页面也没有什么变化,考虑SQL注入。

随便输入234234234,用burp抓包,发现是post方式,直接用sqlmap爆破。
将http头保存为1.txt,试试用sqlmap爆数据库


查看news数据库内容sqlmap -r 1.txt -D news --dump

得到flag!

最新文章

  1. Python数字,字符串
  2. C语言基础_2
  3. Target runtime Apache Tomcat v7.0 is not defined.
  4. UIwebView的html字符串高度计算
  5. Duanxx的C++学习: 使用类没有被定义 原因及解决方法
  6. IDEA——IDEA使用Tomcat服务器出现乱码问题
  7. python 备份压缩传输
  8. 2018-2019-2 网络对抗技术 20165328 Exp4 恶意代码分析
  9. Python中的进程
  10. HttpURLConnection与HttpClient比较和使用示例
  11. http状态码204/206/200/302/303/307
  12. docker实战系列之docker 端口映射错误解决方法
  13. JDBC是如何执行SQL脚本的
  14. overflow的使用
  15. Git之远程仓库
  16. centos7: vsftpd安装及启动
  17. 转详解Zoosk千万用户实时通信背后的开源技术
  18. swift 官方文档
  19. Urllib库的基本用法
  20. Unity3D游戏开发最佳实践20技巧(三)

热门文章

  1. 熟知MySQL存储过程
  2. 使用Eclispe 查看api技巧
  3. Leetcode 242 Valid Anagram 字符串处理
  4. ASP.NET Core 用户注册 - ASP.NET Core 基础教程 - 简单教程,简单编程
  5. WPF 设置控件阴影后,引发的Y轴位置变化问题
  6. WPF 用Clip属性实现蒙板特效
  7. linux下一个C语言要求CPU采用
  8. QT下的几种透明效果(QPalette背景白色,窗口设置setWindowOpacity,QPainter使用Clear模式绘图)
  9. asp.net (webapi) core 2.1 跨域配置
  10. 在Docker中创建Mongo容器的后续设置