BUUOJ刷题记录 [FBCTF2019]Products Manager

BUUOJ刷题记录 [FBCTF2019]Products Manager

开局送源码,省下我扫描器扫了。
sql语句都是经过预编译的,注入大概率是无了。
这个题利用的是基于约束的SQL攻击

攻击原理

1.数据库字符串比较

进行字符串比较时,如果两个字符串长度不同,则会在短的字符串后面补上空格直至两个字符串长度相等。

2.insert截断

如果一个列的定义为varchar(64),那么如果在某一次插入的字段长度超过64,就会自动进行截断。

payload

Name:facebook                                                            11
Secret:qweASDzxc123
Description:123

然后登录就完了。

点赞

发表回复

电子邮件地址不会被公开。必填项已用 * 标注