CTFHUB-WEB-SQL注入-时间盲注

原题

CTFHUB-WEB-SQL注入-时间盲注_第1张图片

 

解题思路

        题目提示是使用时间盲注,并且不会有回显。解题的原理,是通过提交查询语句之后页面的刷新速度判断查询是否正确,如果正确从数据库中查找并返回response耗时比错误的语句稍长一些。但实际操作中受网络波动影响较大,使用sqlmap工具会方便很多。sqlmap使用教程(超详细)

        往里面输入任何东西都只回显查询语句:CTFHUB-WEB-SQL注入-时间盲注_第2张图片

        找数据库名CTFHUB-WEB-SQL注入-时间盲注_第3张图片

找表名CTFHUB-WEB-SQL注入-时间盲注_第4张图片 找列名CTFHUB-WEB-SQL注入-时间盲注_第5张图片

 找flagCTFHUB-WEB-SQL注入-时间盲注_第6张图片

 

找flag

 

 

 

你可能感兴趣的:(web安全)