0
点赞
收藏
分享

微信扫一扫

AMD XILINX 20nm器件价格上调25%

晚安大世界 2024-11-05 阅读 2

WEB——SQLi

写在之前:

本题在CSDN上或是其它博客上有过解答,只不过不知是什么原因,我没有找到解题过程比较完整的文章。于是我决定在CTF初学阶段写一篇这样的博客,如有疏漏,欢迎斧正。

题目简介:

本题分值:50分 类型:Web

题目名称:SQLi

题目描述:后台有获取flag的线索本题来自擂主greenhand

在这里插入图片描述
在题目中,我们可以知道这是一个攻擂赛,本题的解题过程可能和SQL注入有关。

题目分析:

点击链接之后,我们可以获得这个界面:
在这里插入图片描述
最开始我可是苦等了不少时间,尝试了不少方法…
然后,查看源代码,才发现这是擂主的阴谋!!!。上面的网站是一个伪装为正在加载的网页。真正的提示在注释之中:
在这里插入图片描述
我们访问http://eci-2zedptpxwuweoi1divsq.cloudeci1.ichunqiu.com/login.php?id=1

用burp抓包之后尝试查看有没有注入点(这里我把各种方法都试过啦,麻了都),然后就试着查看**/index.php**,在这里插入图片描述
这里发现

重定向之后指向了这个网址,可是和之前的网址进行对比,我们发现它多了一个点,应该指向了目录名为. 的同名文件。

然后我访问这个界面
:
在这里插入图片描述

访问这个界面:/l0gin.php?id=1
在这里插入图片描述

这个界面才是真正的SQL注入的界面,这样我们就可以开始愉快的SQL注入啦。

举报

相关推荐

0 条评论