当前位置:首页 » 《随便一记》 » 正文

BUUCTF-[极客大挑战 2019]BabySQL1_Monica的博客

7 人参与  2022年03月01日 10:35  分类 : 《随便一记》  评论

点击全文阅读


目录

题目:

 分析:


题目:

 

 分析:

先测试是什么闭合

near '        '    123'   ' and password='   'amdin'   '       ' at line 1

通过拆分可以看出用户名和密码都是单引号闭合

猜测后台语句为:

'  select xxx from xxx where username='' and password=''  '

测试有几列:

 发现有过滤。

union 和select也被过滤了,试试用双写绕过

 

数据显示的地方为第二列和第三列。 

显示当前的数据库和用户名

 显示所有数据库名称:

猜测在ctf数据库中,接下来就对ctf数据库进行爆破

 显示ctf数据库中的表名

显示Flag表中的字段名

 显示出flag的字段内容,夸库查询需要使用   数据库名.表名

 

 


点击全文阅读


本文链接:http://zhangshiyu.com/post/35558.html

显示  数据库  闭合  
<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1