墨者学院SQL过滤字符后手工绕过漏洞测试(万能口令)

进入靶场环境,看到必须是admin账号登录进去才可以拿到key

构造万能密码语句,尝试报错猜测一下数据库的后端语句结构。

账号:admin'

密码:随便输入

原始语句:select * from users where username = '' and password = ''

结合实际报错,得出实际 查询语句应该为:select * from users where username = 'admin' , 'a' , 'a') and password = ''

所以此时,尝试构造以下语句绕过登录。

账号:admin','a','a') #

密码:随便输入

成功登录获得key

总结:这一个靶场的重点就是教会大家如何从报错中猜解数据库语句结构。

一点投机取巧的方法:如果是在ctf这种抢时间的环境下,直接把no.php改成yes.php就可以成功拿到key了

相关推荐
字节跳动安全中心3 小时前
猎影计划:从密流中捕获 Cobalt Strike 的隐秘身影
人工智能·安全·llm
集成显卡3 小时前
网络安全 | 从 0 到 1 了解 WAF:Web 应用防火墙到底是什么?
网络·安全·web安全
FreeBuf_3 小时前
AI Agents漏洞百出,恶意提示等安全缺陷令人担忧
人工智能·安全
AORO20256 小时前
国产智能三防手机哪款最好?这款支持单北斗、5G-A、IP68
5g·安全·智能手机·信息与通信·harmonyos
wanhengidc6 小时前
进一步分析云手机的优势有哪些?
网络·安全·智能手机
不念霉运8 小时前
关键领域软件研发如何构建智能知识管理体系?从文档自动化到安全协同的全面升级
运维·安全·自动化
ZeroNews内网穿透8 小时前
ZeroNews内网穿透安全策略深度解析:构建企业级安全连接体系
java·运维·服务器·网络·python·安全·php
athink_cn9 小时前
Vibe Coding:AI驱动开发的安全暗礁与防护体系
人工智能·安全·ai·ai编程
卓码软件测评10 小时前
【基于WAF的Web安全测试:绕过Cloudflare/Aliyun防护策略】
安全·web安全