sqllab第十七关通关笔记

知识点:

  • 错误注入
  • update更新语句
    • update 表名 set 字段='输入' where 字段名=数据

通过admin admin进行输入发现是一个数据更新的语句

推测原始语句为update 表 set password='' where username=''

直接构造payload:passwd=admin'+and+exp(710)'

发现有错误提示,说明单引号起作用了,按理说引号已经闭合了,为啥还有错误呢

看提示应该是程序把'where username='识别成字符串了

修改payload:passwd=admin'+and+exp(710)='1

成功触发了exp()函数的错误提示;说明这里可以进行错误注入

接下来利用错误注入获取数据库的名字

构造payload:passwd=admin'+and+extractvalue(1,concat(0x7e,,0x7e))='1

成功获取到了数据库名;好了,收工了

10

相关推荐
一只小菜鸡..3 小时前
Stanford CS144 学习笔记 (四):网络拥塞控制与 AIMD 算法
网络·笔记·学习
Hammer_Hans4 小时前
DFT笔记82
笔记
xuhaoyu_cpp_java4 小时前
SpringBoot学习(四)
java·经验分享·spring boot·笔记·学习
依然范特东5 小时前
动手学深度学习笔记--训练注意、梯度问题
人工智能·笔记·深度学习
fanchenxinok7 小时前
学习笔记:LabVIEW中如何将解析S19/HEX的VI封装为子VI并供主VI调用
笔记·学习·labview·子vi
2301_809051147 小时前
基本电子电路元件 学习笔记
笔记·学习
一只小菜鸡..9 小时前
Stanford CS144 学习笔记 (二):传输层与数据通信机制
网络·笔记·学习
Yunzenn10 小时前
强化学习1-Liu2026_GFlowRL_精读笔记
人工智能·笔记·深度学习·机器学习·transformer·集成学习·vllm
天天爱吃肉821810 小时前
# 商用车多体动力学整车仿真学习笔记(开篇总览)
人工智能·笔记·python·功能测试·学习·汽车
一起努力啊~11 小时前
DataWhale组队学习笔记--llm-algo-leetcode(三)
笔记·学习·llm