CTF练习(3)-这个看起来有点简单!(SQL注入)

最新推荐文章于 2025-07-12 13:46:00 发布
最新推荐文章于 2025-07-12 13:46:00 发布
阅读量524 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: CTF练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35097943/article/details/88663524
本文介绍了CTF练习中的一个SQL注入问题。通过分析页面源码和URL,发现可能的注入点。利用单引号测试确认了SQL注入,并通过输入`id = 1 and 1 = 1`和`id = 1 and 1 = 2`验证了这一点。然后使用SQLMap工具进一步进行注入,揭示系统为Windows,并找到了包含目标信息的数据库my_db及表thiskey。最终,通过dump获取到关键的flag值。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、打开题目链接

题目链接:http://www.shiyanbar.com/ctf/33

  1. 看到一个表格,很容易联想到数据库,不过还是从源码看起

    在这里插入图片描述

  2. 源码中是一个简单的table表格,看到代码中含有’1’,那么再看URl:http://ctf5.shiyanbar.com/8/index.php?id=1,id = 1?
    可以分析出这可能是一个SQL注入点。

    SQL注入:就是前端通过提交一个非法的数据库语句或请求,不该被前端获取的信息放到前端去了,从而暴露出不该显示的东西,可以先加个常规的单引号

    在这里插入图片描述

  3. 输入id = 1’,显示出数据库为MySQL, 且网页绝对路径为C:\h43a1W3\phpstudy\WWW\8\index.php

    在这里插入图片描述

    绝对路径…还不会使用

最低0.47元/天 解锁文章

200万优质内容无限畅学
CTF训练
syh_486_007的专栏
09-03 4411
在线CTF练习平台 发表于 2015 年 3 月 7 日 由 YouMeng 在线的ctf,教学,训练,不关闭。国外 we challenge——–最经典 http://www.wechall.net/西普学院 http://www.simplexue.com/ 有在线视频教程http://ctf.idf.cn/ IDF实验室 CTF训练营 有ctf资料,工具,知识一个在线的ctf
CTF/CTF练习平台 --SQL注入测试【sql宽字节注入与 , 23
qq_43679507的博客
11-13 797
CTF/CTF练习平台 --SQL注入测试【sql宽字节注入与 , 23
CTF练习
m0_74342099的博客
11-20 223
1' uunionnion sselectelect 1,2,group_concat(table_name) ffromrom infoorrmation_schema.tables wwherehere table_schema=database()#进行爆表,因为注入不成功,所以一点一点尝试where和union、select、from等字段是否被过过滤进行双写过滤,select=O:4:"Name":3:{s:14:"%00Name%00username";
CTF练习日常(非常详细),零基础入门到精通,看这一篇就够了
最新发布
QXXXD的博客
07-12 965
本文记录了CTF练习中的多个解题过程,涵盖SQL注入、流量分析、图像处理、文件隐写等技术。主要内容包括:通过联合注入获取flag;从TCP流量中提取坐标绘制图像;拼接GIF二维码解码;修改文件后缀查找到隐藏信息;使用emoji-aes解密工具;处理Excel账单数据;修复伪加密文件;以及音频文件分析获取密码等。这些案例展示了多种CTF解题技巧,涉及正则表达式、Python脚本编写、文件格式转换等实用方法。(149字)
ctf练习
dieyoujiu5768的博客
11-04 400
也是刚接触ctf不久,在做题的过程中,也是学到了不少东西。刚开始是从南邮的题目入手的,不过再做过bugku上面的题之后,觉得这上面的更适合新手入门。题的难度与易到难,每道题所需要的知识点也非常清晰。前几天在做 字符?正则?这道题时,对正则略有心得,就想写篇文章,发表一下拙见。毕竟是新手,又是第一次写文章,若是有出错的地方,还请大家多包涵,多指教。 对于正则表达式,只要我们能把这个表达式...
ctf练习
moon__________的博客
10-09 4007
攻防世界WEB-Challenge area -Web php include WEB-Challenge area -Web php include 代码审计可以轻松知道本题考查文件包含并且过滤的php:// 所以我们用data://伪协议来传输数据,成功执行phpinfo() http://111.200.241.244:59922/index.php?page=data://text/plain,<?php phpinfo();?> 接下来我们利用大小写测试服务器操作系统(其实上图已
CTF练习
qq_53460654的博客
12-15 4593
端午就该吃粽子 打开环境没有界面 直接目录扫描得到 login.php 访问得到 发现存在文件包含 试试目录跳跃,发现被过滤掉了 那就直接php为协议读源码 http://www.bmzclub.cn:22020/login.php?zhongzi=php://filter/read=convert.base64-encode/resource=index.php 解码得到 <?php error_reporting(0); if (isset($_GET['url'])) {
CTF从入门到提升之宽字节注入
anquanniu的博客
08-15 1564
CTF入门到放弃 为什么说是从入门到放弃呢?(开个玩笑)如果说大家对CTF有了解的话,其实应该知道CTF是一个什么类型的比赛,这个比赛涉及的范围和影响有多大。如果说你真的想打好比赛,那也是真的非常不容易的,所以说这是非常困难的一件事情,初期可能学着学着就想放弃了,所以我就以这个来作为一个标题,当然本意不是让大家去放弃,就是为了让大家入个门然后再提升! 我会和我朋友一起来完成这门课程的讲解。 课程主...
CTF练习文件:深入理解Python实战演练
从给定的文件信息中,我们可以提取出...总结来说,这份文件看起来是关于CTF练习的综合材料,旨在帮助IT专业人士和爱好者通过实际操作来提高自己的信息安全技能,特别是运用Python语言在安全测试和渗透测试方面的应用。
原理+实战掌握SQL注入方法
Lemon's blog
11-19 1354
前言: SQL注入是web安全中最常见的攻击方式,SQL注入有很多姿势,但如果只知道payload,不知道原理,感觉也很难掌握,这次就总结一下我所遇到的SQL注入姿势,原理分析+题目实战。 0x00 Xpath报错注入 涉及函数 updatexml():对xml进行查询和修改 extractvalue():对xml进行查询和修改 报错语句构造 select extractvalue(1,conca...
CTF-入门练习
10-30
题目来自于蓝盾服务器,难度适中,适合于练习,需要wp请留言
CTF练习——WEB安全(BurpSuite为主)
zytjulie的博客
08-22 3578
CTF训练,WEB安全,Burpsuite部分
CTF-Web-[极客大挑战2019]EasySQL
归子莫的博客
05-02 2745
CTF-Web-[极客大挑战2019]EasySQL 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客大挑战2019]EasySQL 打开题目的实例 思路 题目类型是Web类型的,而且...
CTF练习-BUUCTF(1~25)
04-22 1803
BUUCTF练习 密码题1-25
ctf(EasySQL)
Glacier_Mount的博客
10-07 784
查询语句的简单猜测
CTF练习Ctfshow入门 爆破(21-24)
Lush_hair_Dl的博客
03-10 2104
爆破题常用的工具就是bp的Intruder模块,将抓到的包发送到Repeater(点击action会有相应选项),用字典爆破:本题是一个登录窗口,首先第一步就是先输入用户名为:admin(一般没有额外提示就这么猜),密码随便输(此处输入111),然后登录。这一过程的目的是为了抓包查看爆破点有的时候抓包会直接看到用户名和密码的位置,这里就不能直接看到,此处将用户名和密码进行base64加密(对于一串字符后有=,基本就要猜测这一串数据是否是base64加密,解密看看是否有什么信息),解密后发现是。
一小白的CTF练习(持续更新~)
qq_68093438的博客
09-28 935
一个小白从0开始学习网安的记录~
网络信息安全攻防学习平台CTF练习-基础篇
weixin_49349476的博客
05-11 2790
网络信息安全攻防学习平台 :http://hackinglab.cn/main.php。
掌握SQL注入CTF挑战赛中的SQLi-CTF-master教程
在Capture The Flag(CTF)竞赛中,SQL注入SQLi)是一个重要的挑战类别,它要求参赛者利用对数据库的访问权限来获取或操纵数据。CTF竞赛是一种信息安全竞赛,参赛者需解决各种网络安全问题以获得分数和提升排名。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值