“百度杯”CTF比赛 九月场_SQL
题目在i春秋ctf大本营
题目一开始就提醒我们是注入,查看源码还给出了查询语句
输入测试语句发现服务器端做了过滤,一些语句被过滤了
试了一下/**/、+都不行,后来才发现可以用<>绕过
接着就是常规注入语句,先order by判断一下,发现到4就没有回显了,接着上union select
接着直接一套combo带走
数据库:
表:
字段:
数据:
题目在i春秋ctf大本营
题目一开始就提醒我们是注入,查看源码还给出了查询语句
输入测试语句发现服务器端做了过滤,一些语句被过滤了
试了一下/**/、+都不行,后来才发现可以用<>绕过
接着就是常规注入语句,先order by判断一下,发现到4就没有回显了,接着上union select
接着直接一套combo带走
数据库:
表:
字段:
数据:
浙公网安备 33010602011771号