[GXYCTF2019]BabySQli
[GXYCTF2019]BabySQli
非常神奇的一道题,漏洞利用点在于
联合查询时如果数据不存在,则会创建一个临时虚拟用户
于是当前尝试username=admin,返回wrong pass则该用户名存在
所以
username:
1'union select 1,'admin','202cb962ac59075b964b07152d234b70'#
(202cb962ac59075b964b07152d234b70就是'123'的md5值)
password:
123
md5的密码加密方式是看了一下其他大佬的wp,而且md5的安全性高,也是一个考虑方向
对于这个漏洞,我的理解是:
admin 正确密码
admin md5(不一样的密码)
这个组合总体是不同的,所以可以同时存在
利用这一特性直接登录得到flag
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· 开源Multi-agent AI智能体框架aevatar.ai,欢迎大家贡献代码
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· AI技术革命,工作效率10个最佳AI工具