[GXYCTF2019]BabySQli1打开实例发现是个登录页，查看源代码未发现有效信息，admin登录,显示密码错误，发现参数name和pw查看源代码发现base编码解密发现是base32+base64混合编码，并发现解密后的SQL语句，判断注入点为usernameselect*fromuserwhereusername='$name'尝试万

题目链接：[GXYCTF2019]BabySQli。个人认为这道题是脑洞题（当然也跟基础业务知识不够有关）。打开题目后环境如下。只有一个登录框，因此常规操作，先测试一下看看。通过多次输入不同的UserName、password发现，存在admin用户，并且可以遍历UserName。接下来尝试注入，发现似乎只有

这题查看源码后发现一个php文件问了ai后发现MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5是一段base32编码，经过base32解码，base64解码后的结果是select*fromuserwhereusername='$name'很明显是一个sql语句，在us

【BUUCTF】BabySQli题目来源收录于：BUUCTFGXYCTF2019题目描述纯粹的SQL注入题随意传入name=abc&pw=a返回wronguser尝试传入name=1%27&pw=a发现闭合方式为'，同时给出了一个可疑字符串把这段字符串丢进ChatGPT，告诉我们可能是Base32编码的，对其进行Base32解码得到

[GXYCTF2019]BabySQli非常神奇的一道题，漏洞利用点在于联合查询时如果数据不存在，则会创建一个临时虚拟用户于是当前尝试username=admin，返回wrongpass则该用户名存在所以username：1'unionselect1,'admin','202cb962ac59075b964b07152d234b70'#(202cb962ac59075b964b07152