BUUCTF | Web [极客大挑战 2019]EasySQL BUUOJ WriteUP

admin 2022年7月17日22:17:38CTF专场评论5 views1322字阅读4分24秒阅读模式

导语:


日刷,日省,日益也。我们要从最简单的题目开始做起,一点一点的培养我们的网络安全技术。网络信息化建设突飞猛进,互联网基础环境全面优化,网络空间法治化快速推荐,为促进网络空间日渐清朗、网络文化全面繁荣、提升以互联网为基础的国家经济发展重要驱动力,网络安全与我们每个人息息相关。
网络低龄化日趋严重,网络安全人才培养应从娃娃抓起!

网络安全人才稀缺!网信办相关部门负责人说:"目前我国网络安全方面人才缺口仍然很大,相关专业每年本科、硕士、博士毕业生之和仅8000余人,而我国网民数量近7亿人。"阿里安全部副总裁杜跃进表示,网络安全对从业者的要求非常高,目前网络安全人员培养跟不上行业需求。网络安全人才需要科班培养和社会培养齐头并进,而科班培养存在教师,教材,教学资源和环境如何跟上网络技术发展的问题。

前言:

深入学习贯彻总体国家安全观、增强忧患意识,是每一位公民的责任。网络安全同样与国家安全息息相关,近些年的事情我们都历历在目,我们青少年不仅仅要肩负国家安全,更重要的是以爱国主义为核心的民族精神
青少年网络安全(原中学生CTF)是以帮助青少年学习信息安全与网络技术为基础核心,将贯彻网络强国的国家战略为基础内涵的学习、练习平台,尽可能多的给予大家更多的学习资源。

题目说明:

BUUCTF | Web [极客大挑战 2019]EasySQL BUUOJ WriteUP

题目名称:[极客大挑战 2019]EasySQL

类型:Web

难度:简单

平台:BUUCTF


解题步骤:


BUUCTF | Web [极客大挑战 2019]EasySQL BUUOJ WriteUP

首先判断是数字型注入还是字符型注入,输入1和1,是正常查询的回显。


BUUCTF | Web [极客大挑战 2019]EasySQL BUUOJ WriteUP


输入一个字符型的测试一下


BUUCTF | Web [极客大挑战 2019]EasySQL BUUOJ WriteUP


BUUCTF | Web [极客大挑战 2019]EasySQL BUUOJ WriteUP

使用万能钥匙一测,第一次 正常回显错误,然后又用字符型的测了一下,发现这里的报错中带有 一部分的查询语句。

# 万能公式1 and 1=11' and '1'='11 or 1=1 1' or '1'='1

BUUCTF | Web [极客大挑战 2019]EasySQL BUUOJ WriteUP


Payload如下:

http://518cc245-c4bf-478a-a835-91a05ed6f1b0.node4.buuoj.cn:81/check.php?username=1%27+or+%271%27%3D%271&password=1%27+or+%271%27%3D%271

测试的时候输入了 1’ and ‘1’=1这个有问题的payload,看报错信息中带有一个 and password=‘1’ and ‘1’=1 说明sql语句是SELECT * FROM tables WHERE username=‘1’ and ‘1’=1 and password=‘1’ and ‘1’=1 类似这样的查询,and 的两边同时为TRUE 结果才能为 TRUE,所以输入的payload一定要符合这个条件就可以登录成功了。

测试的时候输入了 1’ and ‘1’=1这个有问题的payload,看报错信息中带有一个 and password=‘1’ and ‘1’=1 说明sql语句是SELECT * FROM tables WHERE username=‘1’ and ‘1’=1 and password=‘1’ and ‘1’=1 类似这样的查询,and 的两边同时为TRUE 结果才能为 TRUE,所以输入的payload一定要符合这个条件就可以登录成功了。



原文始发于微信公众号(中学生CTF):BUUCTF | Web [极客大挑战 2019]EasySQL-- BUUOJ WriteUP

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月17日22:17:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  BUUCTF | Web [极客大挑战 2019]EasySQL BUUOJ WriteUP http://cn-sec.com/archives/1179993.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: