标签:登录 sql 基础 flag CTF 得到 源代码 查库
基础题
1、你能登录吗?
进入界面,尝试万能密码登录('or 1=1#成功,‘or 1=1–+失败不明白)
成功,得到flag
2、easy
一道简单的SSRF
根据提示找到正确的输入框输入file:///flag即可
可以一个个尝试,也可以打开网页源代码观察
返回并输入,得到flag
3、在线ping测试
没什么意思
简单的命令执行,使用管道符拼接命令
127.0.0.1|cat /flag.txt
4、sql injection is very easy
进去网站,提示这是一道数字型的sql题
常规方法发现可以单引号注入
order by 查看列数 人后查库查表
得到flag
5、easybypass
打开网站,什么都没有,查看源代码
发现提示,访问de.php,得到后端代码
代码审计构建payload(没弄明白)
得到flag
6、你能绕过去吗?
1、打开题目是一个新闻界面
2、一开始以为注入点在登陆界面,尝试万能密码和和各种闭合,失败,然后发现热点点击无反应,测试新闻123也什么都没有
3、F12寻找隐藏的url
4,这就发现又是熟悉的sql了,于是常规流程order by 查库 查表 查列,得到用户名和密码
5、登录得到flag
标签:登录,sql,基础,flag,CTF,得到,源代码,查库 来源: https://blog.csdn.net/wangqaz50/article/details/119297877
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。