“百度杯”CTF比赛 九月场_SQL

题目在i春秋ctf大本营

题目一开始就提醒我们是注入,查看源码还给出了查询语句

 

输入测试语句发现服务器端做了过滤,一些语句被过滤了

试了一下/**/、+都不行,后来才发现可以用<>绕过

接着就是常规注入语句,先order by判断一下,发现到4就没有回显了,接着上union select

接着直接一套combo带走

数据库:

表:

字段:

数据:

 

posted @ 2018-04-19 10:48  Ragd0ll  阅读(495)  评论(0编辑  收藏  举报