login1WEB 未解决

分数: 30 金币: 3
题目作者: 未知
一  血: jiangdie666
一血奖励: 2金币
解  决: 3909
提  示: hint:SQL约束攻击
描  述:
来自skctf
评论
10230310 19天前

还是不理解为什么数据库中的密码会被替换。

回复 0

cityword666 26天前

flag{72295f5e9503ed313a9d96791fcc7abf}

回复 0

Rmgcc 1月前

https://blog.csdn.net/lga0325/article/details/143353230

回复 0

ほしの) アイ 2月前

一般这种网页都会有一个叫’admin‘的用户,而且大概率是管理员用户,所以我们在注册时使用‘admin空格’来进行注册,如果网页没有写过滤的话是可以注册成功的这时你注册成功后你设置的密码就会替换成管理员的,因为后端数据库会过自动删掉空格,然后你再使用admin登录即可成功获取flag

回复 4
Jiafeng 19天前

为啥这里添加了#和--来做注释不行呢?是被过滤了?

回复 0

3166235571 8月前

flag{5a7e8e3b4bad2f560649748c2a96fae7}

回复 0

fonddream 1年前

先注册一个admin+空格的账号,密码记下来,登录的时候账号是admin,密码就是你刚才注册的那个密码

回复 0

zga123 1年前

flag{541dd5adf2cf6dad4d21c8367e736923} admin注册账号时,后面加入空格

回复 0

XRain 1年前

有疑惑,注册时判断用户名是否已存在,如果我输入admin+空格,后端用select * from user where name='$name'查询用户名是否存在,结果还是存在才对,因为 admin+空格 比admin更长,空格被去掉。我感觉做这题,会对SQL约束攻击产生错误的理解,实际情况应该是 admin+空格+其他字符 才能注册成功,而不是admin+空格,因为后者无法通过用户名已存在的检测

回复 7

wxy1343 1年前

flag{97c4dfa12b7d6663a1831ffd92ff8fbb}

回复 0

zhangjunju 1年前

创建一个admin+若干空格的用户; 登陆时输入admin和刚刚创建的admin+若干空格用户的密码即可得到flag!

回复 2

WriteUp

image
harry

3 金币

评分(11)

解题动态

854396873 攻破了该题 10分钟前
leeyabug 攻破了该题 23分钟前
哈哈哈123okm 攻破了该题 13小时前
Yoruko39 攻破了该题 14小时前
yhxdsg 攻破了该题 15小时前
2412358310 攻破了该题 20小时前
不知道 攻破了该题 1天前
yixcjy 攻破了该题 1天前
Linkk 攻破了该题 1天前
16651618785 攻破了该题 1天前
13922335667 攻破了该题 1天前
Fran 攻破了该题 1天前
nbufe123 攻破了该题 1天前
clareljx 攻破了该题 2天前
15119170888 攻破了该题 2天前
海宝宝哈哈 攻破了该题 3天前
Timeo 攻破了该题 4天前
1370446421 攻破了该题 4天前
Gyro 攻破了该题 5天前
rx1234 攻破了该题 6天前
问题反馈