BUUOJ刷题记录 [FBCTF2019]Products Manager
开局送源码,省下我扫描器扫了。
sql语句都是经过预编译的,注入大概率是无了。
这个题利用的是基于约束的SQL攻击
攻击原理
1.数据库字符串比较
进行字符串比较时,如果两个字符串长度不同,则会在短的字符串后面补上空格直至两个字符串长度相等。
2.insert截断
如果一个列的定义为varchar(64),那么如果在某一次插入的字段长度超过64,就会自动进行截断。
payload
Name:facebook 11
Secret:qweASDzxc123
Description:123
然后登录就完了。