摘要:
题目链接:[CISCN2019 华北赛区 Day2 Web1]Hack World。 打开环境后如下所示。 尝试输入 1、2、3、4、...,发现仅存在三种结果。 即 1 时,输出 "Hello, glzjin wants a girlfriend."。 2 时,输出 "Do you want to 阅读全文
摘要:
题目链接:[GYCTF2020]Blacklist。 打开环境后如下所示。 尝试输入 1,回显如下。 输入 ' 后发现存在报错。 尝试使用联合注入,发现存在检测 select 等关键词。 因此尝试下堆叠注入。 首先是查询数据库。 Payload:0'%3bshow+databases%3b%23。 阅读全文
摘要:
题目链接:[GXYCTF2019]BabySQli。 个人认为这道题是脑洞题(当然也跟基础业务知识不够有关)。 打开题目后环境如下。 只有一个登录框,因此常规操作,先测试一下看看。 通过多次输入不同的 UserName、password 发现,存在 admin 用户,并且可以遍历 UserName。 阅读全文