首页 > 其他分享 >强网杯-随便注

强网杯-随便注

时间:2023-11-27 19:14:28浏览次数:29  
标签:语句 show 23 使用 随便 强网杯 SQL 1919810931114514

访问如下

应该是一个sql注入,输入字符1a判断注入是字符型还是数字型

被正常解析,代表这是一个字符型的注入

使用'引号尝试闭合SQL语句

通过报错可以看出我们输入的1'传入后,变为了'1'',使用or '1'='1进行闭合

这应该是当前表里面的所有内容,但是我们不知道当前的表明是什么,使用order by 3最后判断字段数为2

尝试使用联合查询注入union select 1,2

这里使用preg_match正则匹配输入的不能含有select|update|delete|drop|insert|where

这里我们还可以继续使用show命令,尝试使用show命令获取一些信息
由于SQL语句中;代表这个SQL语句的结束,我们可以使用select user();select version()在一行执行两条sql语句

尝试获取当前数据库所有的数据库名inject=1';show databases;%23

虽然不知道当前所在的数据库,但是可以尝试获取当前数据库下面所有的表inject=1';show tables;%23

这里有两个表1919810931114514words

使用show columns from 表名获取表中字段的名称
?inject=1';show columns from words%23

在查询1919810931114514表的时候,我出现了一些问题,经过网上查找发现,mysql数字名称的表名需要使用```符号包裹起来才可以查看,创建的表的时候也是如此

尝试获取1919810931114514表中的字段名
inject=1';show columns from \1919810931114514`%23 ![](/i/l/?n=23&i=blog/2442110/202311/2442110-20231127190627143-779821082.png) 我们得知flag就在当前数据库中的1919810931114514表中的flag`字段中,如何查看呢?这是个问题,经过网上查找,找到了这个题目的很多方法,这里总结两个实用的方法

  • 另一个查询语句handler
  • 使用PREPARE定义SQL语句,然后使用EXEC执行定义的SQL语句

标签:语句,show,23,使用,随便,强网杯,SQL,1919810931114514
From: https://www.cnblogs.com/Junglezt/p/17860122.html

相关文章

  • 特斯拉开源 Roadster 文件随便用;微软 Copilot AI 技术开放或不对大陆开放丨 RTE 开发
       开发者朋友们大家好: 这里是「RTE开发者日报」,每天和大家一起看新闻、聊八卦。我们的社区编辑团队会整理分享RTE(RealTimeEngagement)领域内「有话题的新闻」、「有态度的观点」、「有意思的数据」、「有思考的文章」、「有看点的会议」,但内容仅代表编辑......
  • 特斯拉开源 Roadster 文件随便用;微软 Copilot AI 技术开放或不对大陆开放丨 RTE 开发
      开发者朋友们大家好: 这里是「RTE开发者日报」,每天和大家一起看新闻、聊八卦。我们的社区编辑团队会整理分享RTE(RealTimeEngagement)领域内「有话题的新闻」、「有态度的观点」、「有意思的数据」、「有思考的文章」、「有看点的会议」,但内容仅代表编辑的个人观点,......
  • 今天写极限测试写了好久,随便交一个servlet类
    packagecom.example.limittest01;importjavax.servlet.ServletException;importjavax.servlet.annotation.WebServlet;importjavax.servlet.http.HttpServlet;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletResponse;import......
  • 随便写写
    给你一个下标从 0 开始的整数数组 nums 和一个整数 k 。你需要执行以下操作 恰好 k 次,最大化你的得分:从 nums 中选择一个元素 m 。将选中的元素 m 从数组中删除。将新元素 m+1 添加到数组中。你的得分增加 m 。请你返回执行以上操作恰好 k 次后的最......
  • 1+x备考随便找了个培训开学,顺便寄了笔记
    网页结构:结构层,表示层,行为层<!doctypehtml>:用什么样的方式,标准解释,不区分大小写www:万维网html:由标记标签组成的描述性语言<h1></h1><p>自带外边距</p>不能嵌套强制换行<br/><hr><b>加粗</b>不能换行的称为内联元素(行元素),反之称为块元素<strong></strong>更强调<em......
  • 随便写写
      sqooplist-databases--connectjdbc:mysql://node1.itcast.cn:3306/--usernameroot--password123456  ......
  • Prüfer 序列随便学习
    引入首先这是个啥玩意呢?Prüfer序列可以将带标号的\(n\)个节点的树用一个序列表示。可以理解为完全图生成树与Prüfer序列构建了双射。建立每次选择一个编号最小的叶结点并删掉它,然后在序列中记录下它连接到的那个结点。重复\(n-2\)次后就只剩下两个结点,算法结束。......
  • 随便写写
      建表弄错了   ......
  • 随便写写
    来博客园是因为洛谷博客在写长博客的时候会变得很卡,然后也不好看,所以来的。然后第一篇就不说啥了,就说一下我的洛谷号,然后给一下认识的或者单向认识的。zzzzzzyxuzhenmingMoyunAllgorithmoh_my_shystarback24FreedomKingjtcn0102FroranzenWilliamFranklinHarry27182egg......
  • 随便写的
    随笔学号:102101107;我是郑琦玲;我的爱好是追剧打蛋仔;推荐你福大食堂我比较喜欢喝的蜜雪冰城;......