【攻防世界】CTF 网络安全学习180天 之 inget_please enter id,and try to bypass

最新推荐文章于 2024-10-16 11:34:19 发布
最新推荐文章于 2024-10-16 11:34:19 发布
阅读量871 收藏 18
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 程序员 文章标签: web安全 学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_84302816/article/details/138432637

难度:1
方向:Web,SQL注入
题目描述:无

题干界面

在这里插入图片描述

本人思路

  1. 这个题目的题目描述为无,但在进入了题目界面后,提示了这样子的一句话。
    在这里插入图片描述
    翻译过来就是输入id,且尝试绕过,查看源代码,发现源代码只有这一句话,也没有其他信息。

  2. CTF攻防就是信息的整理和收集,然后把所有细节加起来考虑出方向。

    1. 题目 inget,应该是使用get请求的意识
    2. 而提示的那句话,please enter ID,and try to bypass, 猜测应该是以id作为参数,然后尝试绕过

  3. 下面将是我的思路,以id作为参数然后作为绕过
    1)尝试id=1,会出现什么结果。结果就是无事发生,是老样子
    在这里插入图片描述

  1. 尝试把id的位数输大一点,是不是又长度判断.结果还是老样子。然后我猜想是不是id要爆破?所以我在一个虚拟机一边进行了爆破
最低0.47元/天 解锁文章

200万优质内容无限畅学
网络安全 | CTF攻防世界 inget 解题详析
等风来
07-23 6505
由于该语句为真,却无回显,故可排除数字型注入。语句,再根据回显做下一步判断。思路:尝试利用or构造。使用sqlmap爆数据。
攻防世界CTF 网络安全学习180inget
Bing_Geng的博客
11-15 1255
综合的考察了SQL注入绕过,且提示较其他难度为1的题目较少,是一个学习SQL注入的入门经典例题
RabbitMQ【部署 01】一篇学会RabbitMQ服务依赖的下载安装及简单使用(首次登录 User can only log in via localhost 问题处理)(1)
2301_77121488的博客
05-08 1149
也可以直接安装rabbitmq-server从报错信息里获取需要的版本,由于是同一个网站,下载的方式是一样的,这次也是直接下载安装文件。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~此时服务已经可以使用了,但是,默认情况下,RabbitMQ是没有安装WEB端插件的,需要手动积获才可以生效。点击下载,可以进行联网下载安装也可以直接进行下载,本次选择直接下载安装文件。因篇幅有限,仅展示部分资料。还有大家最喜欢的黑客技术。
攻防世界24-inget-CTFWeb
最新发布
LH1013886337的博客
10-16 491
直接?或??–+是什么意思?当你只输入而不包含空格时,某些数据库可能会因为语法错误无法执行,因为--后面需要有一个空格才能正确地注释掉后续内容。
攻防世界 inget
qq_53105813的博客
10-15 1384
攻防世界wp
攻防世界--inget
qq_73611185的博客
09-09 326
然后就 不会做了(web知识面非常浅薄,采用边做题边学知识的做法) ,开始在网上找wp,看了wp说这里使用sql注入的万能语句?我们知道SQL语句中where相当于判断语句,并且是由 or 连接的,所以 username=’’ 和 1=1 中有一个为真就为真。原文链接:https://blog.youkuaiyun.com/weixin_41607190/article/details/82818804。我们分析下语义,在SQL语法中 # 是注释符,所以后面的语句都会杯注释掉,那么上面的语句就等价于。
adworld-web-inget-20221226
32bin的博客
12-26 925
题目来源: 宜兴网信办题目描述:无______||[(]|||__,|||[!
攻防世界-web-inget
mlws1900的博客
08-23 912
这题目搞了半没思路,又是从get里面传参,又是添加了header内容,一点反应都没。
攻防世界WEB练习-inget
墨鱼菜鸡
09-10 473
目录 题目场景 尝试SQL注入 尝试sqlmap注入 找到flag 题目场景 尝试SQL注入 ?id=1' and1=1-- - ?id=1' and1=2-- - ?id=1' or 1=2-- - 都均无回显 ?id=1' or 1=1-- - 回显出flag Please enter ID,and Try t...
攻防世界-新手模式2
m0_73960954的博客
10-19 225
本题需要利用文件上传漏洞点,通过绕过服务器的安全防护,达到getshell的目的。打开只看到Please enter ID,and Try to bypass。本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行。id=1' or 1=1-- -检查后缀中是否有htaccess或ph。检查文件内容是否有php字符串。这里需要绕过的点如下。
攻防世界】刷题笔记【CTF
weixin_43485035的博客
10-10 1904
攻防世界刷题整理出来的笔记
攻防世界CTF 网络安全学习180inget_please enter id,and try to bypass(1)
m0_61330806的博客
04-09 578
SQL注入是一种利用应用程序对用户输入的处理不当而导致的安全漏洞。攻击者通过在用户输入中插入恶意的SQL代码,从而欺骗应用程序执行非预期的数据库操作。末尾的 – - 是 SQL 中的注释符号,它表示在此之后的所有内容都是注释,不会被执行。意思:在 id 参数的输入后添加了 or 1=1,其中 1=1 始终为真,注释部分 – - 表示在此之后的所有内容都是注释,不会被执行。防范SQL注入的方法包括使用参数化查询、输入验证和限制数据库用户的权限。效果: 将两个查询的结果联合起来,通常用于获取额外的信息。
攻防世界-inget(简单的SQL注入、万能密码)
Welcome To Myon'Blog !
04-14 8101
inget(简单的SQL注入)、手工注入、万能密码原理、sqlmap实现、常用参数
攻防世界-宜兴网信办-inget
m0_49025459的博客
12-23 1155
题目访问题目路径这个题目的意思就是请输入ID,然后尝试绕过,那应该就是SQL注入,但是呢,我是个懒狗,我直接跑sqlmap先跑数据库名爆表爆字段爆数据。
记一次SQL注入Bypass过程
蚁景网安学院
10-15 973
点击关注了解更多精彩内容!!前言某日突然对肥宅的生活感到了厌倦,竟连肥宅快乐水喝起来也索然无味,我需要改变!想起胖友几前发的一个灰色性质网站,正好测试一下打发时间。直入主题,通过访问网...
CTF Linux 命令执行常规bypass
weixin_30892889的博客
09-11 1672
截断符 常见的RCE的形式是给一个ping的命令执行,只需要输入ip,然后返回ping ip的输出信息 常见的用来截断的符号 & && ; | || windows或linux下: command1 && command2 先执行command1后执行command2 command1 | command2 只执行c...
CGCTF平台web题writeup
热门推荐
test
10-25 1万+
前言 正文 签到题 10pt tips : 这一定是最简单的 连接 恩,key在源代码中 md5 collision 20pt 连接 直接贴出了代码 $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md5...
2020年「翼杯」CTF网络安全大赛攻防题目解析
提到的具体赛事,2020-7-31中国电信「翼杯」网络安全攻防大赛,是中国电信组织的网络安全攻防大赛,也是CTF赛事之一。这场比赛汇聚了来自不同领域的网络安全高手,以赛代练,以赛促学,共同交流网络安全知识,提高...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值