CTF实验吧:登陆一下? 不一样的SQL注入

http://ctf5.shiyanbar.com/web/wonderkun/web/index.html

发现 过滤了很多SQL敏感字符,并且 转码绕过也并不行
在这里插入图片描述
发现’和=没有进行过滤
考虑万能密码搞一搞
这里先证明一下 这个万能密码

SELECT * FROM users WHERE username='1'=' 'AND PASSWORD='a'='';

在这里插入图片描述
可以看到成功的执行了
我们猜测 sql语句为
sql查询语句: select , from , where username=’   ’ and password=’  ';
构造payload

username=yun'=' password=yun'='

在这里插入图片描述

ctf{51d1bf8fb65a8c2406513ee8f52283e7}
posted @ 2022-11-21 21:20  那酒不要留  阅读(45)  评论(0编辑  收藏  举报
/* 雪花特效 */