[强网杯 2019]随便注

dingding 好物分享

打开靶机后先输入引号,报错说明存在SQL注入

再输入万能密码1' or 1=1#,返回了表内所有数据,不过不像上一题给出了flag,总不能每道题都那么水吧

输入1' union select 1,2,3#,发现网页过滤了select等一系列关键词,且无法通过大小写绕过

试一下堆叠注入(堆叠注入原理:在sql中,分号表示一条语句的结束。如果在分号的后面再加一条语句,这条语句也可以被执行,继续加一个分号和一条语句,这样就可以在一次数据库的调用中执行多个语句)
输入1'; show tables;# ,返回了两个表名,说明这条路确实可以

剩下明天写

[强网杯 2019]随便注最先出现在Python成神之路

版权声明:
作者:dingding
链接:https://www.techfm.club/p/18337.html
来源:TechFM
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>