bugku login3(SKCTF)

进入网页,进行登陆尝试,发现用户名是admin,但是不清楚密码,因此应该是通过用户名来进行注入。并且发现and是被过滤了,会提醒是非法的字符。当用户名正确的时候,会提示密码错误,当用户名错误的时候会提醒用户名错误。因此可以利用这两个不同的提示来进行注入。


猜测是要获得数据库中的数据表的字段名,我猜测了数据表为admin还有flag,进行尝试后得到

因此md5解码得到密码,再去登陆。

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • sql总结
    注入攻击的分类 1.没有正确过滤转义字符 在用户的输入没有为转义字符过滤时,就会发生这种形式的注入式攻击,它会被传...
    查无此人asdasd阅读 1,689评论 0 5
  • Spring Cloud
    Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 135,198评论 19 139
  • SQL注入攻击
    [SQL注入攻击] SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式...
    James黄杰阅读 2,752评论 0 30
  • 《Flask Web Development - 更新到第8章》
    22年12月更新:个人网站关停,如果仍旧对旧教程有兴趣参考 Github 的markdown内容[https://...
    tangyefei阅读 35,277评论 22 257
  • 生活,需要一份坚持
    今天,无意间收到亲人发的微信,告诉我她最近身体不好,想要从外地回来检查身体。其实,她的身体不好,我一直都知...
    亭苑阅读 444评论 0 0