PicoCTF - 2020 Mini-Competition - Web Gauntlet(关卡1)

张开发
2026/4/7 19:14:15 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

PicoCTF - 2020 Mini-Competition - Web Gauntlet(关卡1)
博主开始学习CTF并做记录本人是一名初级渗透测试工程师水平初级很一般。阅读书籍为异步图书的《CTF快速上手 PicoCTF真题解析》Web篇 李华峰著书这是第一本简单解析一下真题Web Gauntlet关卡该题说明页面如图题干意思你能击败过滤器吗以admin身份登录。直接Round 1/5主页有两个地址分别打开如下图所示第二个网站意思告诉你第一关过滤了字符or尝试在第一个网站关卡输入用户名admin和密码123456返回直接报错要想办法进行sql注入及绕过or的过滤机制select * from users where username admin -- and password 123456;通过构造输入的内容将题中语句变更为输入用户名admin -- 和密码123456最终提交成功。Congrats! 来到第二关直接Round 2/5我直接上答案截图与上面相似。过滤了or and like -- :select * from users where username admin;and password 123456输入用户名admin’;与密码123456登陆成功来到第三关。直接Round 3/5过滤了 or and like -- 还是可以用;输入用户名admin’;与密码123456登陆成功来到第四关。直接Round 4/5这一关把admin都过滤了想到用字符串连接运算符|| 来拼接admin的部分元素||运算符的语法格式如下string1 || string2并且在sql中。多行注释以/*开始并以/*结尾。虽然这是一种多行注释但在CTF比赛中可以只使用/*来屏蔽后面的代码。输入用户名adm||in/*与密码123456登陆成功来到第五关。直接Round 5/5第五关答案如同第四关通关注以后会介绍一系列CTF比赛赛题解析欢迎关注我的专栏

更多文章