sqllab第十七关通关笔记

知识点:

  • 错误注入
  • update更新语句
    • update 表名 set 字段='输入' where 字段名=数据

通过admin admin进行输入发现是一个数据更新的语句

推测原始语句为update 表 set password='' where username=''

直接构造payload:passwd=admin'+and+exp(710)'

发现有错误提示,说明单引号起作用了,按理说引号已经闭合了,为啥还有错误呢

看提示应该是程序把'where username='识别成字符串了

修改payload:passwd=admin'+and+exp(710)='1

成功触发了exp()函数的错误提示;说明这里可以进行错误注入

接下来利用错误注入获取数据库的名字

构造payload:passwd=admin'+and+extractvalue(1,concat(0x7e,,0x7e))='1

成功获取到了数据库名;好了,收工了

10

相关推荐
笑鸿的学习笔记7 分钟前
qt-C++语法笔记之Stretch与Spacer的关系分析
c++·笔记·qt
巴伦是只猫1 小时前
【机器学习笔记Ⅰ】3 代价函数
人工智能·笔记·机器学习
ZZZS05161 小时前
stack栈练习
c++·笔记·学习·算法·动态规划
AI视觉网奇3 小时前
rag学习笔记
笔记·学习
teeeeeeemo5 小时前
http和https的区别
开发语言·网络·笔记·网络协议·http·https
wuxuanok5 小时前
Web后端开发-Mybatis
java·开发语言·笔记·学习·mybatis
卷到起飞的数分5 小时前
Java零基础笔记07(Java编程核心:面向对象编程 {类,static关键字})
java·开发语言·笔记
iFulling6 小时前
【计算机网络】第三章:数据链路层(下)
网络·笔记·计算机网络
巴伦是只猫6 小时前
【机器学习笔记 Ⅱ】4 神经网络中的推理
笔记·神经网络·机器学习
java攻城狮k6 小时前
【跟着PMP学习项目管理】项目管理 之 成本管理知识点
经验分享·笔记·学习·产品经理