web安全
来源:互联网 发布:淘宝联盟佣金怎么算的 编辑:程序博客网 时间:2024/06/05 00:39
CTF实验吧 登录一下好吗??
题目
解题方法参考http://blog.csdn.net/qq_18661257/article/details/53739543
- 一般的数据库验证用户登录语句为:
select * from user where username='$username'and password='$password'
- 试试字符串内联注入 ‘or1=1or’1’=’1 结果发现过滤or字符;
- 参考别人使用注入”=’方法得到
- 但是我不懂为啥
username='''=''and password='''=''
判断为真(没学过SQL) - 经过测试注入
'='
也可以,搞不懂 - 经过几轮测试发现只要符合
xxxxx'='xxxx
都可以 - 判断语句应该就是username=’xxxx’=’xxxxx’为真;
- 后来我就看书想查询上面语句怎么判断的,偶然看到between and关键字范围查询,试试使用between语句注入,一试竟然成功了,,瞎猫碰到死耗子了。
username=''between''and password=''
学习笔记:
- 如果在电脑编写博客过程中卡死了,可以直接关机再打开网页
- 过滤or、注释字符可以采用username=‘xx’=’xx’判断条件为真来进行注入
- 参考between and关键字查询来进行between字符注入。
阅读全文
1 0
- web安全
- web安全
- web安全
- WEB安全
- Web安全
- web安全
- web安全
- Web安全
- WEB安全
- WEB安全
- Web安全
- web安全
- web安全
- web安全
- web 安全
- web安全
- WEB安全
- Web安全
- 线程池
- 爆零专场
- RESTful API文档生成工具
- 轮子哥:回顾我走过的编程之路
- Memcached
- web安全
- Spark SQL基础笔记及简单案例
- spring batch admin的安装配置基础
- <10/1>集训周记
- Solr搜索引擎(3)索引mysql数据
- 线程池TreadPoolExecutor
- linux内存管理之页表
- 2017开学训练第五周周末总结
- thymeleaf使用详解