- 博客(5)
- 收藏
- 关注
RSS订阅
原创 搭建dvwa环境来测试手工注入,让注入更清楚
首先还是手工检测注入点单引号在id=1后面 报错有可能为注入点 然后为了保险就再用and 1=1页面正常 and 1=2 页面错误 ,说明存在注入点的然后再进行获取显示位用orderby 语法 判断 判断出来为两个显示位字段 然后再用联合查询 union select语法用union select 联合查询来查询当前数据库 、用户、版本信息 集训构造union select语句,来查询正在使用中的
2017-03-12 16:31:53
1879
2
原创 实验吧 ctf 题目简单的sql注入2writeup
解题链接: http://ctf5.shiyanbar.com/web/index_2.php1.输入id值,通过回显发现题目应该是进行了空格过滤2.使用sqlmap进行注入 2.1 python sqlmap.py -u "http://ctf5.shiyanbar.com/web/index_2.php?id=1" --random-agent --tampe
2017-03-11 21:47:46
6238
2
原创 实验吧简单的sql注入解题思路
解题思路:研究了好久,看了writeup才知道 1)在文本框输入1,提交,链接变成id=1 2)在文件框输入1‘,提交,报错,判断存在注入。3)初步预计后台表为flag,字段名为flag,需要构造union select flag from flag来执行。 4)根据第二步的报错信息看,多加个‘,后面的语句需要再构造一个条件来结束’,注入语句为:1‘ union select flag fro
2017-03-17 21:20:07
8270
原创 实验吧ctf web题猫捉老鼠
解题链接: http://ctf5.shiyanbar.com/basic/catch/ 首先点进去然后抓包 题目都提醒了catch catch 所以应该抓包首先随便提交0000进去 看到的结果是这个然后用Burpsuite抓包然后发送到repeater首先看response回应 肯定是那个 好然后把它的值粘贴复制到pass_key得到这个结果此题的解题方法就是这样
2017-03-16 23:05:45
2640
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人