一个涉及到 sql 注入的程序员闯关游戏

2018-12-05 21:51:42 +08:00
 SingeeKing

比较新颖,还没见过这种类型的,懂网络安全方面知识的可以玩玩

http://1024.ruffood.cn/v2/

4245 次点击
所在节点    分享发现
33 条回复
wjm2038
2018-12-05 23:05:51 +08:00
有点意思
SingeeKing
2018-12-06 00:39:28 +08:00
一群收藏没有回复真的…
ddup
2018-12-06 01:04:55 +08:00
有意思
phpinfos
2018-12-06 01:32:46 +08:00
show me the writeup
yifanes
2018-12-06 09:39:08 +08:00
@SingeeKing 哈哈 因为大多数人点开不知道从何下手,然后收藏并期待大佬高质量的回复
RoyL
2018-12-06 10:08:03 +08:00
'or 1=1#嘛
whoami9894
2018-12-06 11:14:09 +08:00
不会做,抛砖引玉说点思路

改 ua,是个 insert 注入,过滤了单引号(但字段是单引号包裹),有字符长度限制(长语句无法执行),x-f-ip 有校验无法注入
zxcvsh
2018-12-06 11:30:04 +08:00
注入,规避密码这个网上都有
但是不知道后台有没有防注入的代码规范
另外没按钮这个坑,手机还真不知道怎么弄
SingeeKing
2018-12-06 12:59:52 +08:00
@whoami9894 对我也研究出来这些了… 完全想不到也查不到过滤了单引号后该怎么玩
tdwj12580
2018-12-06 15:22:43 +08:00
所以这是怎么弄的?
怎么登录啊?
tdwj12580
2018-12-06 15:39:40 +08:00
你确定这是 sql 注入嘛?登录按钮都没有,,怎么注入?
SingeeKing
2018-12-06 16:39:28 +08:00
@tdwj12580 通过注入实现登录…
sdhzdmzzl
2018-12-06 16:48:50 +08:00
恭喜,登录成功!新手试炼圆满完成!<br>请关注微信公众号「 game4coder 」回复以下口令,即可获得参与后续活动的资格。<br>XXXXXXXXXXXXXXXX<br><br>每个口令只能用一次,请勿外传。<br>QQ 交流群 1:612474176
geying
2018-12-06 17:05:17 +08:00
请在微信环境中登录
tdwj12580
2018-12-06 18:01:01 +08:00
@SingeeKing 所以怎么注入呀!
phpinfos
2018-12-06 18:16:48 +08:00
@tdwj12580 提醒你:“"”
liuxey
2018-12-07 09:09:22 +08:00
"请在微信环境中登录"
"关键词提示:CURL SQL 注入"
stone666
2018-12-07 10:04:03 +08:00
@sdhzdmzzl 求大佬指点一下
tdwj12580
2018-12-07 10:18:04 +08:00
@phpinfos 这算神马提示呀。你会不会压。
sdhzdmzzl
2018-12-07 11:33:14 +08:00
@stone666 如 @whoami9894 所言,先改 ua 未微信的 ua。没有提交按钮,可以使用 curl 来提交。。。。然后如 @phpinfos 所提示的就行了。
不要被屏蔽单引号这个限制蒙蔽了双眼,也不是所谓的 insert 注入。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/514722

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX