CTF吧

找回密码
加入CTF

快捷登录

查看: 57807|回复: 10

sql注入怎么做的?

[复制链接]

11

主题

36

帖子

7887

积分

实习出题员

Rank: 7Rank: 7Rank: 7

积分
7887
发表于 2020-6-21 04:32:07 | 显示全部楼层 |阅读模式
本帖最后由 GoodXuan 于 2020-7-5 19:36 编辑
题目链接:http://www.ctf8.com/ctfexercise-competition-2.html





先用burp抓包,?tel=1'+or+true+%23,将参数修改为永真,放包之后发现网页永远都跳转不到签到成功的界面中去,所以这里选择抓取服务器的返回包,试试能不能从中获取到什么有用信息,此处省略。抓到包之后发送到repeater中去,(原理不详解,自己做)。
1.

图2

图2

这里可以看到签到成功之后的返回数据,所以在这里进行测试注入(图1).

2.查字段数,查表名,查数据这些命令自己解析,学习靠自己,提示(这里的所有空格都使用‘+’替代,有时候空格会被过滤;注释中#也推荐使用url编码的 %23 ,防止过滤)

3.最后得到flag为(图2):

图1

图1

最后提示(注意参数的闭合,别哉在小细节上)

最后最后:学习是靠自己研究和记忆的,别人的解析只能当作参考,毕竟自己分析出来才有成就感嘛!


学习自己!!!
回复

使用道具 举报

3

主题

5

帖子

3108

积分

论坛元老

Rank: 8Rank: 8

积分
3108
发表于 2020-6-23 12:56:37 | 显示全部楼层
啊这,布尔注入解决的爬过。
致郁与治愈为伴,成熟与幼稚相依
回复

使用道具 举报

11

主题

36

帖子

7887

积分

实习出题员

Rank: 7Rank: 7Rank: 7

积分
7887
 楼主| 发表于 2020-6-29 14:31:22 | 显示全部楼层
自己占沙发
学习自己!!!
回复

使用道具 举报

11

主题

36

帖子

7887

积分

实习出题员

Rank: 7Rank: 7Rank: 7

积分
7887
 楼主| 发表于 2020-7-1 00:09:33 | 显示全部楼层
这个好像是我的帖子里阅读数量最多的了哈,开心一下
学习自己!!!
回复

使用道具 举报

0

主题

1

帖子

61

积分

注册会员

Rank: 2

积分
61
发表于 2020-7-3 11:35:49 | 显示全部楼层
不是sqlmap一把梭吗
回复

使用道具 举报

11

主题

36

帖子

7887

积分

实习出题员

Rank: 7Rank: 7Rank: 7

积分
7887
 楼主| 发表于 2020-7-5 08:19:31 | 显示全部楼层
Herry 发表于 2020-7-3 11:35
不是sqlmap一把梭吗

,你可真是个小机灵鬼哟
学习自己!!!
回复

使用道具 举报

0

主题

2

帖子

46

积分

新手上路

Rank: 1

积分
46
发表于 2020-8-26 13:36:24 | 显示全部楼层
真是吐了,我说sqlmap最后一步怎么dump不下来,按楼主方法试了才知道,64位加密,我日
回复

使用道具 举报

0

主题

1

帖子

87

积分

注册会员

Rank: 2

积分
87
发表于 2020-9-1 01:56:45 | 显示全部楼层
这个题是把and过滤了吧,只能用or试出来这个注入好像
回复

使用道具 举报

0

主题

1

帖子

16

积分

新手上路

Rank: 1

积分
16
发表于 2020-9-3 07:46:49 | 显示全部楼层
不是布尔注入吗?楼主怎么把登陆次数当回显点的
回复

使用道具 举报

11

主题

36

帖子

7887

积分

实习出题员

Rank: 7Rank: 7Rank: 7

积分
7887
 楼主| 发表于 2020-9-3 14:46:04 | 显示全部楼层
doctor_zzy 发表于 2020-9-3 07:46
不是布尔注入吗?楼主怎么把登陆次数当回显点的

英雄略有见同
学习自己!!!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 加入CTF

本版积分规则

');

QQ|Archiver|手机版|小黑屋|CTF吧 ( 津ICP备17008032号-5 举报电话:18622800700 )

© Copyright 2021 版权所有(一极教育科技有限公司)