单位建设网站需要招标,济南seo整站外包,腾讯邮箱企业邮箱网页版,北京建筑公司有哪些在一次联系CTF赛题中才了解到堆叠注入#xff0c;在这里简单介绍一下。
堆叠注入的原理什么的一搜一大堆#xff0c;我就不引用百度了#xff0c;直接进入正题。
这个是攻防世界的一道CTF赛题。 采用寻常思路来寻找sql注入漏洞。
payload:1 and 11-- 利用payload: and 12…在一次联系CTF赛题中才了解到堆叠注入在这里简单介绍一下。
堆叠注入的原理什么的一搜一大堆我就不引用百度了直接进入正题。
这个是攻防世界的一道CTF赛题。 采用寻常思路来寻找sql注入漏洞。
payload:1 and 11-- 利用payload: and 12--
可以确定用户输入的内容被带入到数据库中查询了那么就可以确定这个位置有注入漏洞。
接下来就是手工注入的常见思路利用order by来猜列。
payload: order by 1-- 在这里我们可以猜测有两列数据。
那么接下来利用union select 进行查询 发现对关键字都进行了过滤那么接下来想用常规思路得到数据是不可能了就利用堆叠注入。 payload:1;show databases;-- payload ;show tables;--
看到一个及其奇怪的表。 在这发现了flag这里查询的时候注意一下需要用把表名括起来。 payload:;handler 1919810931114514 open;handler 1919810931114514 read first;--
在这里大家额外补充一下关于mysql中handler的知识点我也是现查的。
附一个学习链接【MySQL】MySQL 之 handler 的详细使用及说明 - 灰信网软件开发博客聚合
