CTF练习(3)-这个看起来有点简单!(SQL注入)

本文介绍了CTF练习中的一个SQL注入问题。通过分析页面源码和URL,发现可能的注入点。利用单引号测试确认了SQL注入,并通过输入`id = 1 and 1 = 1`和`id = 1 and 1 = 2`验证了这一点。然后使用SQLMap工具进一步进行注入,揭示系统为Windows,并找到了包含目标信息的数据库my_db及表thiskey。最终,通过dump获取到关键的flag值。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、打开题目链接

题目链接:http://www.shiyanbar.com/ctf/33

  1. 看到一个表格,很容易联想到数据库,不过还是从源码看起

    在这里插入图片描述

  2. 源码中是一个简单的table表格,看到代码中含有’1’,那么再看URl:http://ctf5.shiyanbar.com/8/index.php?id=1,id = 1?
    可以分析出这可能是一个SQL注入点。

    SQL注入:就是前端通过提交一个非法的数据库语句或请求,不该被前端获取的信息放到前端去了,从而暴露出不该显示的东西,可以先加个常规的单引号

    在这里插入图片描述

  3. 输入id = 1’,显示出数据库为MySQL, 且网页绝对路径为C:\h43a1W3\phpstudy\WWW\8\index.php

    在这里插入图片描述

    绝对路径…还不会使用

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值