首先尝试了直接无过滤提取数据数据库,发现失败了(select等关键词被过滤)
查看了别人的题解发现这题支持多语句执行(以后要注意多语句)
使用payload:0';show tables;#成功获取表名
使用payload:0';set @sql=cOncat('sel','ect * frOm `1919810931114514`');pRepare presql fRom @sql;eXecute presql;deAllocate prEpare presql;#成功得到flag(关键词大小写是为了避过strstr的关键词过滤)
首先尝试了直接无过滤提取数据数据库,发现失败了(select等关键词被过滤)查看了别人的题解发现这题支持多语句执行...
尝试注入发现过滤 /i不区分大小写匹配,也过滤了.sqlmap跑一波 能跑出数据库为surpersqli,但是因为...
[强网杯 2019]随便注 进入该界面 正常步骤注入: 存在注入,order by 看看几个字段,3返回错误,说明...
buuctf第二题。根据题目提示可知是sql注入题先进入页面,发现一个输入框且有缺省值1,先在1后加上单引号,出现...
每天学习网络安全知识,本文记录强网杯的一个SQL注入题。 使用单引号测试,发现页面报错,说明此处存在SQL注入漏洞...
漏洞复现地址https://buuoj.cn/challenges#[强网杯%202019]随便注] 考察SQL注...
复现环境 https://buuoj.cn/challenges#[%E5%BC%BA%E7%BD%91%E6%9...
访问/www.tar.gz得到源代码参考了别人的writeup,用wamp或者phpstudy搭建本地环境本地跑一...
去年的强网杯,出了一道mysql堆叠注入叫随便注,这道题被好多比赛玩了一整年,直到现在还是有各种新姿势,但是今天我...
参见: https://impakho.com/post/hctf-2018-writeuphttps://ctf...
本文标题:2019-09-15 BUUCTF [强网杯 2019]随便注
本文链接:https://www.haomeiwen.com/subject/rgctuctx.html
网友评论