网络安全管理职业技能竞赛Web writeup_合天网安学院-程序员宝宝 - 程序员宝宝1
需积分: 0 70 浏览量
2022-08-03
16:48:50
上传
评论
收藏 942KB PDF 举报
网络安全管理职业技能竞赛Web writeup_合
天网安学院-程序员宝宝 - 程序员宝宝
网络安全管理职业技能竞赛 Web writeup_合天网安学院
- 程序员宝宝
技术标签:extCTFnagiosado.netsdlopenssh
如果你也想练习 CTF,请点击CTF 实验室
Web
0x01 easy_sql
一开始看到是 easysql,那就先上 sqlmap 跑跑看,跑出了数据库名 security 以及若干表名
继续跑 flag,结果没跑出来,最后还是上手工了。
测试输入一个单引号,页面无反应,但是在源码中发现了又报错信息
接着用单引号和括号闭合,报错注入,之后想了一下,为什么页面没有回显呢,原来是因为错误信
息居然显示白色,前期被骗了很久,用鼠标描一下即可看到。
uname=aaa') or updatexml(1,concat(0x7e,mid((select * from
flag),1,25)),1)%23&passwd=bbbb
1
剩余11页未读,继续阅读
评论0