BUUCTF-[极客大挑战 2019]BabySQL 记录

17.[极客大挑战 2019]BabySQL

本题主要是过滤了or、union、select等关键字,可以双写绕过。

首先测试是存在注入的。

试了下,加上#,直接登录了,显示密码,但没啥用。没显示flag,确定存在注入,开始判断字段

or和by都被过滤了。

试了下大小写,最后发现可以双写绕过。

判断字段为3个字段

因为要回显,所以需要设一个不是数据里面的用户,直接改成amdin1,回显字段为2和3

查看下版本和当前数据库

先查询有哪些库

查询表。

查询字段,两个表字段一样。

查询数据,得到flag,查看源代码就可以查看全部。

©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

友情链接更多精彩内容