首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >CTF从入门到提升(七)insert 等数据表相关操作注入及例题分享

CTF从入门到提升(七)insert 等数据表相关操作注入及例题分享

原创
作者头像
牛油果
修改2019-08-29 18:27:31
6460
修改2019-08-29 18:27:31
举报

本次分享内容:insert update delete对数据表操作的一些基本问题及例题分享。

  • insert语法介绍

insert插入到某张表中,后面跟上设置的参数以及值。在insert的时候可以使用哪些注入方法呢?

比如这个报错的方法,如果报错可以使用,那么同理其他函数也是可以使用的。

首先看下语句使用,如下图:

  • update  语法介绍

update 即对整张表做数据更新

我们在set 这个位置做一个注入,报错后可以带出数据:

  • delete语法介绍

delete即删除表中的数据

例如我删除id=7的数据

  • 例题分享

我们发现引号不能传入反斜杠可以传入,反斜杠的作用就是让引号失效。

我们全部清掉重新推导一遍,/进去之后,那么这里就会连起来。

在他后面去跟一个逗号,

我们看能否可以直接注入语句,如果直接传入注入语句,select database  是可以直接传进去的。database后面的字符把它闭合掉。

思路:要去猜它的一个基本模型是什么,然后你才能做出对应的推测,进而推测出它的语法。,否则注入不进去。

通过插入“/ ”让他的第一个参数中的引号失效,和第二个变量中的第一个引号闭合掉。

根据他给的提示我们再构造语句:

这就是通过注入拿到了我们想要的flag

以上内容参考安全牛课堂《CTF从入门到提升

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
数据库
云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档