BUUCTF_Web([GYCTF2020]Ezsqli)

1.输入1 ,正常回显。

2.输入1' ,报错false,为字符型注入,单引号闭合。

原因:

https://mp.csdn.net/mp_blog/creation/editor/145170456

3.尝试查询字段,回显位置,数据库,都是这个。

4.初步判定为布尔盲注

这里用burp测试一下,发现过滤了union select, or 等等information_schema.columns表名不能用了,我们在这里使用sys.schema_table_statistics这个表,or使用||代替

-1||length(database())>1

返回结果为true,输出结果为Nu1L;

返回结果为false,输出结果为Error Occured When Fetch Result.

**无列名注入:**是在不知道列名的情况下进行 sql 注入。

无列名注入主要是适用于已经获取到数据表,但无法查询列的情况下。(在本题中information_schema.columns表名不能用)

(暂时不会运行脚本,参考别人的)

脚本参考:

https://blog.csdn.net/qq_62078839/article/details/124515863?ops_request_misc=%257B%2522request%255Fid%2522%253A%25227cb4a7840a7ed91675fd795f79b846d8%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=7cb4a7840a7ed91675fd795f79b846d8&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-7-124515863-null-null.142^v101^pc_search_result_base7&utm_term=GYCTF2020Ezsqli&spm=1018.2226.3001.4187http://ezsqli

相关推荐
网硕互联的小客服2 小时前
未来趋势:AI与量子计算对服务器安全的影响
运维·服务器·网络·网络安全·量子计算
玥轩_5212 小时前
BUUCTF [WUSTCTF2020]spaceclub 1
安全·网络安全·ctf·buuctf·ascii·spaceclub·wustctf2020
ManageEngine卓豪2 小时前
网络工具如何帮助消除网络安全风险
网络安全·网络管理·网络工具
码农12138号9 小时前
BUUCTF在线评测-练习场-WebCTF习题[GXYCTF2019]BabyUpload1-flag获取、解析
web安全·网络安全·文件上传漏洞·buuctf·解析漏洞
Johny_Zhao9 小时前
Docker + CentOS 部署 Zookeeper 集群 + Kubernetes Operator 自动化运维方案
linux·网络安全·docker·信息安全·zookeeper·kubernetes·云计算·系统运维
独行soc15 小时前
#渗透测试#批量漏洞挖掘#HSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)
linux·科技·安全·网络安全·面试·渗透测试
Whoisshutiao17 小时前
网安-XSS-pikachu
前端·安全·网络安全
游戏开发爱好者81 天前
iOS重构期调试实战:架构升级中的性能与数据保障策略
websocket·网络协议·tcp/ip·http·网络安全·https·udp
安全系统学习1 天前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
A5rZ2 天前
Puppeteer 相关漏洞-- Google 2025 Sourceless
网络安全