实验吧-web-程序逻辑问题

最新推荐文章于 2021-03-24 22:36:00 发布
最新推荐文章于 2021-03-24 22:36:00 发布
阅读量191 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF_实验吧 文章标签: 实验吧 web select 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42812036/article/details/88980337
本文通过一个具体的案例,详细解析了如何利用SQL注入漏洞获取敏感信息。通过对源代码的分析,发现了一个未经过滤的用户输入点,并成功构造了SQL注入payload来验证存在的漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

类似的登入题一般都会查看下源码
查看源码,发现body有个txt.
打开
根据题目,’程序逻辑‘来看源码,发现源码的确有漏洞
没有对输入的user进行过滤,只是比较查询的pw内容和md5(password)是否相同
playload: Post:user=johnson’ and 1=2 union select “c4ca4238a0b923820dcc509a6f75849b” %23&pass=1

补充:
在这里插入图片描述
由上面select 查询的输出有助于我们更好的理解playload;
select 查询会直接输出在输出端口,在MySQL命令行随意select’222333’,输出第一二行都是
222333. 再如select concat(‘222333’),第一行显示concat(‘222333’),第二行显示222333; 所以在本题中,将select 输出预先准备的md5(password),和输入的password比较,相同就合理了~T_T

:一开始不少人都感觉是一道sql注入,了解到一些人还注入出来发现pw字段是111 ,继续尝试弱口令,但最后会发现无济于事。这题的题目是我们的第一个着手点,之后便是对源码的分析,select输出的理解了~T_T.

实验吧——WEB-程序逻辑问题
迷风小白
04-12 2837
程序逻辑问题 直接查看网页源代码 <html> <head> welcome to simplexue </head> <body> <br /> <b>Notice</b>: Use of undefined constant user - assumed 'user' in <b>C:\h43a...
西普部分CTF题目(web)(持续更新)
技术学习人生
08-16 9441
1、菊花 题目地址:http://www.simplexue.com/ctf/examctfdetail/729 点击“我是吊死”进入sim.php页面,post参数为id=,提示需要net framework 9.9 用burp拦截,修改user-agent为Mozilla/5.0 (MSIE 9.0;.NET CLR 9.9),下面的注入均在这个条件下进行 id=1 提示hacker:w
WEB CTF 西普学院
ztaos的博客
11-26 4573
菊花        http://ctf1.simplexue.com/web/6/   提示:  Please make sure you have installed .net framework 9.9!     用burp拦截,修改user-agent为Mozilla/5.0 (MSIE 9.0;.NET CLR 9.9),下
实验-程序逻辑问题writeup
一个安全研究员
08-27 9593
1.      程序逻辑问题   题目提示是程序逻辑问题,那一定涉及到源码审计嘛,F12查看网页源代码:       这儿不就藏着源码吗,构造URL访问index.txt的如下源码: &lt;html&gt; &lt;head&gt; welcome to simplexue &lt;/head&gt; &lt;body&gt; &lt;?php     if($_P...
linux实验----用户管理权限
weixin_50339832的博客
03-24 2498
目录实验1实验2 实验1 建立一个名为simplexue的组要求组id为1234 步骤 groupadd -g 1234 simplexue 或者 建组:groupadd simplexue 改属性:groupmod -g simplexue 1234 查看:tail -2 /etc/group 实验2 建立一个自己名字的用户要求基本组为simplexue,uid为1000 步骤 useradd -u 10000 -g 1234 rhz 3.建立一个名为simpleware的组,并指定为自己名字用户的附
实验十三-Web服务器的实现.docx
12-18
实验十三-Web服务器的实现】 本实验旨在深入理解Web服务器的工作原理,通过编写一个简单的多线程Web服务器,学生可以熟悉网络环境的搭建、HTTP协议的理解、Socket编程以及Java多线程技术的应用。 1. **HTTP协议*...
实验-Web服务器配置.doc
06-29
### 实验-Web服务器配置知识点详解 #### 一、实训目标 - **掌握IIS安装**:了解如何在Windows Server 2003上安装Internet信息服务(IIS),这是搭建Web服务器的基础。 - **掌握Web站点创建**:学会如何在IIS中...
java-web客户端脚本程序.doc
05-09
- 实验报告提到了在MyEclipse软件中新建Web项目并部署到Tomcat服务器的过程,这说明了如何设置开发环境来测试和运行Java Web应用程序。 8. **实验结果的展示:** - 报告中要求记录实验环节的截图,如文献夹构造...
Web程序设计 实验五.docx
05-12
Web程序设计——ASP.NET窗体验证】 在Web开发领域,ASP.NET是一种强大的框架,用于构建动态、交互式的Web应用程序。在本次实验中,我们关注的是ASP.NET的窗体验证功能,这是确保用户输入数据质量和安全性的重要...
Lab-4-INGESOFT-:实验室4-Web应用程序(注册模块)
04-10
在本实验"Lab-4-INGESOFT-:实验室4-Web应用程序(注册模块)"中,我们将深入探讨如何构建一个基于Web的用户注册系统。这个系统是使用Java技术实现的,它对于理解Web应用程序开发,特别是用户认证和授权流程至关重要...
实验--程序逻辑问题
weixin_43803070的博客
07-16 242
看了一下实验吧的题,说是程序逻辑问题,一开始没找到源码,打开源码之后审计: <html> <head> welcome to simplexue </head> <body> <?php if($_POST[user] && $_POST[pass]) { $conn = mysql_connect("********, ...
暑期练习web12:程序逻辑问题实验吧)
qq_41618162的博客
08-19 294
解题连接:http://ctf5.shiyanbar.com/web/5/index.php 拿到题目首先查看源码 点击index.txt,里面是这段代码(我加了注释) &amp;amp;lt;html&amp;amp;gt; &amp;amp;lt;head&amp;amp;gt; welcome to simplexue &amp;amp;lt;/head&amp;amp;gt; &amp;amp;lt;body&amp;am
实验-程序逻辑问题
weixin_30336061的博客
10-19 149
实验地址:http://www.shiyanbar.com/ctf/62 右键查看源码: 进入后看到代码: 根据源码可以看到两处特别需要重视的地方。 很明显1处sql语句存在注入漏洞,但是密码栏不能通过一般的注入来绕过,但是可以发现,只要满足了($row[pw]) && (!strcasecmp($pass,$row[pw])就可以拿到flag,也...
程序逻辑问题--实验
Gunther的博客
09-01 5088
程序逻辑问题 题目提示是绕过,本题考点:sql语句注入 <?php if($_POST[user] && $_POST[pass]) { $conn = mysql_connect("********, "*****", "********"); mysql_select_db("phpformysql") or die("Could not select database
MPU9250九轴传感器数据融合:扩展卡尔曼滤波(EKF)算法解析与应用——以四元数、陀螺仪和加速度计为核心 · 四元数
最新发布
08-13
MPU9250 九轴传感器的工作原理及其应用背景,重点讲解了如何利用扩展卡尔曼滤波 (EKF) 进行数据融合。文中解释了选择四元数作为状态量、三轴陀螺仪的漂移作为控制量以及三轴加速度计和磁偏角作为观测量的原因。通过这种方式,在短时间尺度上优先信任陀螺仪提供的高精度角速度数据,而在长时间尺度上则依赖于加速度计提供的稳定姿态信息。此外,还提供了 Python 实现的简单 EKF 数据融合算法代码示例。 适合人群:对传感器数据融合感兴趣的电子工程技术人员、自动化控制领域的研究人员、从事机器人导航系统开发的技术人员。 使用场景及目标:适用于需要精确测量和稳定控制的场合,如无人机飞行控制系统、自动驾驶汽车的姿态感知模块、智能穿戴设备的动作捕捉单元等。目的是提高运动信息的准确性与稳定性。 其他说明:本文不仅理论阐述详尽,而且附有实际代码示例,便于读者理解和实践。对于希望深入了解传感器数据融合技术并掌握其实现细节的专业人士而言,是一份非常有价值的参考资料。
Web程序设计实验手册完整版
根据给出的文件标题和描述,这本实验手册可能是为学习Web程序设计的学生准备的一本实践指南。它可能包含以下内容: - **基础入门:** 包括Web程序设计的概述、环境搭建和第一个网页的创建。 - **HTML和CSS实践:*...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值