码迷,mamicode.com
首页 > 其他好文 > 详细

1.登陆一下好吗??

时间:2017-07-14 09:55:22      阅读:232      评论:0      收藏:0      [点我收藏+]

标签:web安全   sql注入   ctf   实验吧   

根据提示:

不要怀疑,我已经过滤了一切,还再逼你注入,哈哈哈哈哈!

我们可以知道有些关键词,符号被过滤了,我们先看看那些被过滤了

技术分享

技术分享

我们可以发现select # - union or 等被过滤了则尝试下面sql语句

1‘ and ‘1‘=‘1

1‘ and ‘1‘=‘1

技术分享

我们猜测sql语句结构为:

select * from user where username = ‘1‘ and ‘1‘=‘1‘ and password = ‘1‘ and ‘1‘=‘1‘

我们发现上面四段用三个and连接,要想通过,必须4段都为True,所以报错


我们再次构造sql

1‘ = ‘1‘

1‘ = ‘1‘

select * from user where username = ‘1‘=‘1‘ and password = ‘1‘=‘1‘

技术分享

还是报错,因为第一个红色中没有为1的username所以返回0 ,‘0‘ = ‘1‘ 为0所以返回0 下一个and不用执行直接报错


由上分析可知,我们可以构造‘0‘ = ‘0‘ and ‘0‘ = ‘0‘即可

要想0 = 0需要

select * from user where username = ‘1‘=‘0‘ and password = ‘1‘=‘0

1‘=‘0

1‘=‘0

即可


技术分享


本人也是初学者,有什么错误的地方,希望大家指出,谢谢!

本文出自 “11846238” 博客,请务必保留此出处http://11856238.blog.51cto.com/11846238/1947298

1.登陆一下好吗??

标签:web安全   sql注入   ctf   实验吧   

原文地址:http://11856238.blog.51cto.com/11846238/1947298

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!